:

Szerző: Hlács Ferenc

2020. július 2. 12:30

Ötezer fejlesztő fért hozzá illetéktelenül Facebook felhasználók adataihoz

Nem működött rendesen az engedélyek automatikus visszavonása, a Facebook már javította a hibát.

Újabb biztonsági fiaskóról számolt be a Facebook: a közösségi óriás egy hiba miatt mintegy ötezer fejlesztővel azt követően is megosztott adatokat, hogy azok alkalmazásainak hivatalosan már nem lehetett volna hozzáférése a Facebookon tárolt felhasználói információkhoz. A szóban forgó bugot a vállalat a felfedezés napján be is foltozta.

A Facebook a bő két évvel ezelőtti Cambridge Analytica botrányt követően erősítette meg biztonsági rendszereit, az intézkedések részeként pedig azt is korlátozta, hogy API-jain keresztül a fejlesztők meddig juthatnak hozzá az alkalmazásaikban egyébként már inaktív felhasználók adataihoz. Eszerint ha egy adott appot a felhasználó 90 napig nem használ, az alkalmazás elveszti a hozzáférést a közösségi oldalon tárolt információihoz.

fbillll

Azonban mint kiderült, a megoldás korántsem működött kifogástalanul, és ötezer fejlesztő számára a határidő lejártát követően is lehetővé tette, hogy rálássanak az alkalmazásaikat használók facebookos adataira.

A Gitlab mint DevSecOps platform (x)

Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

Azt a vállalat nem árulta el, hogy a probléma pontosan hány felhasználót érintett, viszont sietett hangsúlyozni, hogy az appok soha nem fértek hozzá több adathoz, mint amennyire az első használatbavételkor engedélyt kaptak, így jó eséllyel a 90 nap leteltével sem kaptak új információkat, kivéve persze ha a felhasználó időközben módosította profiladatait - egyelőre ugyanakkor azt sem közölte a Facebook, milyen adatok kerültek ki illetéktelenül, kapcsolódó blogposztjában mindössze annyit ír, a felhasználók beszélt nyelvéhez és neméhez hasonló információkról van szó. A vállalat még folytatja vizsgálatát az ügyben, mindenesetre eddig nem talált az adatokkal való visszaélésre utaló jelet.

Az üggyel párhuzamosan a cég néhány további biztonsági szigorítást is bevezetett a harmadik felek adatkezelése kapcsán, egyebek mellett tovább korlátozza, hogy a fejlesztők milyen adatokat szolgáltathatnak ki a felhasználókról külső feleknek, kimondott hozzájárulás nélkül.

Az üzemeltetői szakmát számos nagyon erős hatás érte az elmúlt években. A történet pedig messze nem csak a cloudról szól, hiszen az on-prem világ is megváltozott.

a címlapról