6,8 millió facebookozót érinthetett a fotós API sebezhetősége

Bejelentette a Facebook, hogy talált egy sebezhetőséget a Photos API-jában, amely szeptember 12-25. között kéretlenül is átadott felhasználói fényképeket az egyébként jóváhagyott alkalmazásoknak. A közösségi óriás már javította a sérülékenységet, azonban figyelmezteti a felhasználókat és a fejlesztőket, hogy az említett 12 napban 876 különböző fejlesztőhöz tartozó 1500 alkalmazás hozzájuthatott 6,8 millió felhasználó esetében olyan fotókhoz is, amelyekhez egyébként nem volt jogosultsága. Az API ugyanis rendeltetésszerű működés során csak az idővonalon közzétett képeket adja át, de ez esetben a fejlesztők ennél többhöz is hozzáférhettek.

A Facebook közleménye szerint az idővonalon publikált képeken kívül a külső alkalmazások megkaphatták a piactéren (Marketplace) és a Stories-funkcióval közzétett fotókat. Továbbá azokat, amelyeket a felhasználó elkezdett közzétenni, de valamiért megszakította a folyamatot, például hálózati problémák miatt, vagy mert egyszerűen meggondolta magát. Ezeket a képeket a közösségi óriás még további három napon keresztül tárolja, hogy a facebookozó később, például a hálózat visszatérésekor folytathassa a feltöltést.

Ahogy a Facebook igyekszik kiemelni, a probléma ezúttal nem a bejegyzések adatvédelmi beállításait érintette, tehát a kizárólag csak az ismerősöknek szánt fotók ettől még nem váltak teljesen nyilvánossá - mint ahogy nyáron ez 14 millió felhasználó esetében megtörtént. Továbbá csak azok az alkalmazások kaptak hozzáférést a szerveren időző feltöltésekhez, amelyeket egyébként már a közösségi óriás rendszere hitelesített, és a felhasználók is elfogadták felvételeik átadásának feltételeit. Azonban a jóváhagyás csak az idővonalon közzétett képek átvételére vonatkozott, amelynél a fejlesztők a 12 nap alatt többhöz is hozzájutottak.

^{Ilyen értesítést kap, aki érintett lehet a sebezhetőség miatt}

Egyelőre nem tudni, hogy a fejlesztők a jogosulatlanul megszerzett képeket biztosan kihasználták-e valamilyen formában. A Facebook mindenesetre a fejlesztői blogján kérte a partnereit, hogy vizsgálják felül a problémát, hogy mely felhasználók esetében juthattak hozzá nem kívánt fotókhoz is. Ehhez a tevékenységhez a vállalat hét elején eszközöket is a fejlesztők rendelkezésére bocsát, amellyel az ellenőrzést elvégezhetik. Ha az alkalmazástulajdonosok azonosítanak érintett felhasználókat, akkor a Facebook a közleménye szerint együtt dolgozik majd a fejlesztőkkel ezeknek a képeknek a törlésén.

Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.

A sebezhetőségben feltételezhetően érintett felhasználók egy értesítőt fognak kapni a rendszertől, hogy a Facebok Súgóközponton keresztül ellenőrizzék az általuk használt alkalmazásokat. Az oldal utasítása szerint a facebookozóknak egyesével be kell jelentkezni a felsorolt appokba, és ellenőrizni, hogy milyen képekhez kaptak azok hozzáférést. Ha ezek közt a felhasználó olyat talál, amelynek törlését szeretné kérni, akkor a súgóban leírtak szerint veheti fel a kapcsolatot az alkalmazás fejlesztőjével.

Indul a GDPR-vizsgálat

Tehát annak ellenére, hogy Mark Zuckerberg szerint a Facebook "kijavítása" már több mint a felénél jár, és hogy a cég nem lesz többé felkészületlen a kártékony szereplőkkel szemben, úgy látszik, mégis ismét több millió felhasználó képeihez engedett kéretlenül hozzáférést. A GDPR követelményeinek megfelelően a vállalatoknak 72 órájuk van értesíteni az illetékes adatvédelmi hatóságokat az európai uniós állampolgárokat is érintő incidensekről, így a Facebook a CNBC-nek adott közleménye szerint november 22-én nyújtotta be a szabványos jelentést az írországi adatvédelmi hivatalnak (IDPC).

A cég szerint a szakértőik ekkorra tudták levonni a következtetést, hogy ez egy olyan adatszivárgás volt, amelyet a GDPR értelmében köteles a vállalat jelenteni. A Facebook szóvivője szerint a következtetés levonását követően betartotta a vállalat a 72 órás korlátot, noha az a szeptember végi sérülékenységtől láthatóan messzebb esett. A nyilvános tájékoztatással pedig elméletileg a hiba okának belső nyomozása és javítása miatt várt a cég. Az IDPC kommunikációs igazgatója, Graham Doyle szerint a hivatal május 25. óta rengeteg bejelentést kapott már a Facebook miatt. Ezúttal a hivatal közleményben kijelentette, hogy az IDPC törvényes vizsgálatot indított, hogy ellenőrizze a Facebook megfelelőségét a GDPR vonatkozó rendelkezéseinek. Ez a vizsgálat pedig magában foglalja a Photos API szeptemberi sérülékenységét is, hogy ennek kapcsán a közösségi óriás valóban a GDPR-nak megfelelően járt-e el a helyzet kezelése, a nyilvános bejelentés és a hatóság értesítése során.