6,8 millió facebookozót érinthetett a fotós API sebezhetősége
Újabb adatvédelmi hibát vétett a Facebook, mikor 12 napon át potenciálisan 6,8 millió felhasználó fotóit kéretlenül is átadta más fejlesztőknek. Az eset kapcsán az ír adatvédelmi hatóság elindította a GDPR-vizsgálatot, más facebookos bejelentésekkel együtt.
Bejelentette a Facebook, hogy talált egy sebezhetőséget a Photos API-jában, amely szeptember 12-25. között kéretlenül is átadott felhasználói fényképeket az egyébként jóváhagyott alkalmazásoknak. A közösségi óriás már javította a sérülékenységet, azonban figyelmezteti a felhasználókat és a fejlesztőket, hogy az említett 12 napban 876 különböző fejlesztőhöz tartozó 1500 alkalmazás hozzájuthatott 6,8 millió felhasználó esetében olyan fotókhoz is, amelyekhez egyébként nem volt jogosultsága. Az API ugyanis rendeltetésszerű működés során csak az idővonalon közzétett képeket adja át, de ez esetben a fejlesztők ennél többhöz is hozzáférhettek.
A Facebook közleménye szerint az idővonalon publikált képeken kívül a külső alkalmazások megkaphatták a piactéren (Marketplace) és a Stories-funkcióval közzétett fotókat. Továbbá azokat, amelyeket a felhasználó elkezdett közzétenni, de valamiért megszakította a folyamatot, például hálózati problémák miatt, vagy mert egyszerűen meggondolta magát. Ezeket a képeket a közösségi óriás még további három napon keresztül tárolja, hogy a facebookozó később, például a hálózat visszatérésekor folytathassa a feltöltést.
Ahogy a Facebook igyekszik kiemelni, a probléma ezúttal nem a bejegyzések adatvédelmi beállításait érintette, tehát a kizárólag csak az ismerősöknek szánt fotók ettől még nem váltak teljesen nyilvánossá - mint ahogy nyáron ez 14 millió felhasználó esetében megtörtént. Továbbá csak azok az alkalmazások kaptak hozzáférést a szerveren időző feltöltésekhez, amelyeket egyébként már a közösségi óriás rendszere hitelesített, és a felhasználók is elfogadták felvételeik átadásának feltételeit. Azonban a jóváhagyás csak az idővonalon közzétett képek átvételére vonatkozott, amelynél a fejlesztők a 12 nap alatt többhöz is hozzájutottak.
Ilyen értesítést kap, aki érintett lehet a sebezhetőség miatt
Egyelőre nem tudni, hogy a fejlesztők a jogosulatlanul megszerzett képeket biztosan kihasználták-e valamilyen formában. A Facebook mindenesetre a fejlesztői blogján kérte a partnereit, hogy vizsgálják felül a problémát, hogy mely felhasználók esetében juthattak hozzá nem kívánt fotókhoz is. Ehhez a tevékenységhez a vállalat hét elején eszközöket is a fejlesztők rendelkezésére bocsát, amellyel az ellenőrzést elvégezhetik. Ha az alkalmazástulajdonosok azonosítanak érintett felhasználókat, akkor a Facebook a közleménye szerint együtt dolgozik majd a fejlesztőkkel ezeknek a képeknek a törlésén.
Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.
A sebezhetőségben feltételezhetően érintett felhasználók egy értesítőt fognak kapni a rendszertől, hogy a Facebok Súgóközponton keresztül ellenőrizzék az általuk használt alkalmazásokat. Az oldal utasítása szerint a facebookozóknak egyesével be kell jelentkezni a felsorolt appokba, és ellenőrizni, hogy milyen képekhez kaptak azok hozzáférést. Ha ezek közt a felhasználó olyat talál, amelynek törlését szeretné kérni, akkor a súgóban leírtak szerint veheti fel a kapcsolatot az alkalmazás fejlesztőjével.
Indul a GDPR-vizsgálat
Tehát annak ellenére, hogy Mark Zuckerberg szerint a Facebook "kijavítása" már több mint a felénél jár, és hogy a cég nem lesz többé felkészületlen a kártékony szereplőkkel szemben, úgy látszik, mégis ismét több millió felhasználó képeihez engedett kéretlenül hozzáférést. A GDPR követelményeinek megfelelően a vállalatoknak 72 órájuk van értesíteni az illetékes adatvédelmi hatóságokat az európai uniós állampolgárokat is érintő incidensekről, így a Facebook a CNBC-nek adott közleménye szerint november 22-én nyújtotta be a szabványos jelentést az írországi adatvédelmi hivatalnak (IDPC).
A cég szerint a szakértőik ekkorra tudták levonni a következtetést, hogy ez egy olyan adatszivárgás volt, amelyet a GDPR értelmében köteles a vállalat jelenteni. A Facebook szóvivője szerint a következtetés levonását követően betartotta a vállalat a 72 órás korlátot, noha az a szeptember végi sérülékenységtől láthatóan messzebb esett. A nyilvános tájékoztatással pedig elméletileg a hiba okának belső nyomozása és javítása miatt várt a cég. Az IDPC kommunikációs igazgatója, Graham Doyle szerint a hivatal május 25. óta rengeteg bejelentést kapott már a Facebook miatt. Ezúttal a hivatal közleményben kijelentette, hogy az IDPC törvényes vizsgálatot indított, hogy ellenőrizze a Facebook megfelelőségét a GDPR vonatkozó rendelkezéseinek. Ez a vizsgálat pedig magában foglalja a Photos API szeptemberi sérülékenységét is, hogy ennek kapcsán a közösségi óriás valóban a GDPR-nak megfelelően járt-e el a helyzet kezelése, a nyilvános bejelentés és a hatóság értesítése során.