Facebook 14 декабря опубликовала сообщение, в котором рассказала о недавно найденной ошибке в API, из-за которой сторонние приложения могли спокойно получать доступ к закрытым фотографиям пользователей.
Сообщается, что уязвимость, существовавшая в период с 13 по 25 сентября текущего года, могла затронуть около 6,8 млн пользователей социальной сети. Доступ к личным фотографиям могли получить разработчики приложений, которые делают запрос на предоставление доступа к фотографиям пользователя в Facebook.
Те пользователи, которых могла затронуть ошибка в API, Facebook предупредит, отправив список приложений, которые могли получить доступ к личным фотографиям.
Среди материалов, которые могли быть раскрыты сторонними приложениями, Facebook приводит фотографии, опубликованные в «историях», снимки, загруженные на торговую площадку Marketplace, а также к фото, которые пользователь загрузил в Facebook, но в итоге не опубликовал. Уязвимость срабатывала из-за того, что, вероятно, соцсеть хранит на своих серверах копии изображений:
Когда кто-то даёт разрешение на доступ приложения к своим фотографиям на Facebook, мы обычно предоставляем приложению доступ только к тем фотографиям, которыми люди делятся публично. Но в этом случае ошибка потенциально дала разработчикам доступ к другим фотографиям, например, опубликованным на Marketplace или в Facebook Stories. Эта ошибка также повлияла на фотографии, которые пользователи загружали на Facebook, но не хотели публиковать, — рассказывает представитель компании.
Как сообщают в Facebook, в сентябре потенциальный доступ к личным фотографиям пользователей был у 1500 сторонних приложений от 876 разработчиков. Воспользовались ли эти разработчики уязвимости — в компании не сообщают, однако пообещали связаться с разработчиками, чтобы те удалили личные изображения пользователей, если они имеются.
