Száz fejlesztő fért hozzá illetéktelenül Facebook csoportadatokhoz
A fejlesztőknél azután is megmaradt a hozzáférés, hogy tavaly a cég a kapcsolódó Groups API-t törölte.
A november is Facebook adatvédelmi fiaskóval indul: a vállalat beszámolt róla, mintegy száz, a platformjával dolgozó fejlesztő azután is hozzáfért a közösségi oldalon működő egyes csoportok és felhasználóik adataihoz, hogy a vállalat megszüntette ennek hivatalos lehetőségét.
A Facebook még tavaly áprilisban gyomlált ki egy sor fejlesztői API-t platformjából, beleértve a Groups API-t is, amely a különböző alkalmazások számára a Facebook csoportokkal való interakciót tette lehetővé. A cég tisztogatása előtt a csoportok adminisztrátorainak lehetőségük volt egy-egy appnak hozzáférést adni az adott csoporthoz, illetve annak, illetve tagjainak információihoz - ezeket az elérhető adatokat a cég tavaly alaposan visszanyeste, az appok így már csak a csoport nevéhez, a tagok számához, illetve a posztok tartalmához fértek hozzá. A tagokra vonatkozó adatok eléréséhez az egyes résztvevőknek egyenként kell azt engedélyezniük.
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
Azonban mint kiderült, az intézkedés nem sikerült kellően átfogóra, néhány alkalmazás, illetve azok fejlesztői ugyanis megtartották a korábbi, jóval kiterjedtebb hozzáférést a csoportadatokhoz. Az érintett fejlesztők nevekhez, profilképekhez, illetve a csoportaktivitáshoz is hozzáfértek - a vállalat szerint nagyjából száz fejlesztőről van szó. Bár nagy részük nem volt túl aktív az adatok kapcsán, 11 fejlesztő az elmúlt 60 napban hozzáfért a csoporttagok információihoz. Arról a vállalat nem beszélt, hogy pontosan mekkora csoportokról van szó, és hogy hány felhasználó adatait szerezhették meg a fejlesztők - immár illetéktelenül.
A cég mindenesetre kitér rá, hogy nem talált visszaélésre utaló nyomot, illetve a mintegy száz fejlesztőt felszólította, hogy töröljenek minden, a tagokra vonatkozó adatot, amelyet megtartottak - a Facebook pedig külön audittal ellenőrzi majd, hogy ezt a fejlesztők megtették-e. A közösségi óriás az eset után természetesen elvágta az érintett appok hozzáférését a csoportokhoz.
Bár az ügy súlyosságát tekintve eltörpül a vállalat korábbi baklövései mellett, mint mikor szeptemberben több százmillió felhasználó telefonszáma szivárgott ki, vagy épp az ominózus tavalyi Cambridge Analytica botrány, jól illusztrálja ugyanakkor, hogy a cég védelmén továbbra is bőven vannak kisebb-nagyobb, befoltozásra váró rések.