Szerző: Hlács Ferenc

2020. július 2. 12:30

Ötezer fejlesztő fért hozzá illetéktelenül Facebook felhasználók adataihoz

Nem működött rendesen az engedélyek automatikus visszavonása, a Facebook már javította a hibát.

Újabb biztonsági fiaskóról számolt be a Facebook: a közösségi óriás egy hiba miatt mintegy ötezer fejlesztővel azt követően is megosztott adatokat, hogy azok alkalmazásainak hivatalosan már nem lehetett volna hozzáférése a Facebookon tárolt felhasználói információkhoz. A szóban forgó bugot a vállalat a felfedezés napján be is foltozta.

A Facebook a bő két évvel ezelőtti Cambridge Analytica botrányt követően erősítette meg biztonsági rendszereit, az intézkedések részeként pedig azt is korlátozta, hogy API-jain keresztül a fejlesztők meddig juthatnak hozzá az alkalmazásaikban egyébként már inaktív felhasználók adataihoz. Eszerint ha egy adott appot a felhasználó 90 napig nem használ, az alkalmazás elveszti a hozzáférést a közösségi oldalon tárolt információihoz.

fbillll

Azonban mint kiderült, a megoldás korántsem működött kifogástalanul, és ötezer fejlesztő számára a határidő lejártát követően is lehetővé tette, hogy rálássanak az alkalmazásaikat használók facebookos adataira.

Ollé, lesz SYSADMINDAY!

Duna melletti szabadtéri helyszínen idén is megrendezzük a hazai Sysadmindayt, az IT-üzemeltetők világnapját. Standup, IT security meetup, szakmázás, barátok, még több sörcsap.

Ollé, lesz SYSADMINDAY! Duna melletti szabadtéri helyszínen idén is megrendezzük a hazai Sysadmindayt, az IT-üzemeltetők világnapját. Standup, IT security meetup, szakmázás, barátok, még több sörcsap.

Azt a vállalat nem árulta el, hogy a probléma pontosan hány felhasználót érintett, viszont sietett hangsúlyozni, hogy az appok soha nem fértek hozzá több adathoz, mint amennyire az első használatbavételkor engedélyt kaptak, így jó eséllyel a 90 nap leteltével sem kaptak új információkat, kivéve persze ha a felhasználó időközben módosította profiladatait - egyelőre ugyanakkor azt sem közölte a Facebook, milyen adatok kerültek ki illetéktelenül, kapcsolódó blogposztjában mindössze annyit ír, a felhasználók beszélt nyelvéhez és neméhez hasonló információkról van szó. A vállalat még folytatja vizsgálatát az ügyben, mindenesetre eddig nem talált az adatokkal való visszaélésre utaló jelet.

Az üggyel párhuzamosan a cég néhány további biztonsági szigorítást is bevezetett a harmadik felek adatkezelése kapcsán, egyebek mellett tovább korlátozza, hogy a fejlesztők milyen adatokat szolgáltathatnak ki a felhasználókról külső feleknek, kimondott hozzájárulás nélkül.

Derítsd ki, hol tartasz a felhőérettségben a Devertix Cloud Readiness felmérésével, mellyel átfogó képet kaphatsz vállalatod felkészültségéről. Töltsd ki 3 perces, ingyenes felmérőnket!

a címlapról

Hirdetés

Ollé, lesz SYSADMINDAY!

2025. július 2. 16:34

Duna melletti szabadtéri helyszínen, a Budapest Gardenben idén is megrendezzük a hazai Sysadmindayt, az IT-üzemeltetők világnapját. Standup, IT security meetup, kvízek, szakmázás, barátok, még több sörcsap.