Ötezer fejlesztő fért hozzá illetéktelenül Facebook felhasználók adataihoz
Nem működött rendesen az engedélyek automatikus visszavonása, a Facebook már javította a hibát.
Újabb biztonsági fiaskóról számolt be a Facebook: a közösségi óriás egy hiba miatt mintegy ötezer fejlesztővel azt követően is megosztott adatokat, hogy azok alkalmazásainak hivatalosan már nem lehetett volna hozzáférése a Facebookon tárolt felhasználói információkhoz. A szóban forgó bugot a vállalat a felfedezés napján be is foltozta.
A Facebook a bő két évvel ezelőtti Cambridge Analytica botrányt követően erősítette meg biztonsági rendszereit, az intézkedések részeként pedig azt is korlátozta, hogy API-jain keresztül a fejlesztők meddig juthatnak hozzá az alkalmazásaikban egyébként már inaktív felhasználók adataihoz. Eszerint ha egy adott appot a felhasználó 90 napig nem használ, az alkalmazás elveszti a hozzáférést a közösségi oldalon tárolt információihoz.
Azonban mint kiderült, a megoldás korántsem működött kifogástalanul, és ötezer fejlesztő számára a határidő lejártát követően is lehetővé tette, hogy rálássanak az alkalmazásaikat használók facebookos adataira.
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
Azt a vállalat nem árulta el, hogy a probléma pontosan hány felhasználót érintett, viszont sietett hangsúlyozni, hogy az appok soha nem fértek hozzá több adathoz, mint amennyire az első használatbavételkor engedélyt kaptak, így jó eséllyel a 90 nap leteltével sem kaptak új információkat, kivéve persze ha a felhasználó időközben módosította profiladatait - egyelőre ugyanakkor azt sem közölte a Facebook, milyen adatok kerültek ki illetéktelenül, kapcsolódó blogposztjában mindössze annyit ír, a felhasználók beszélt nyelvéhez és neméhez hasonló információkról van szó. A vállalat még folytatja vizsgálatát az ügyben, mindenesetre eddig nem talált az adatokkal való visszaélésre utaló jelet.
Az üggyel párhuzamosan a cég néhány további biztonsági szigorítást is bevezetett a harmadik felek adatkezelése kapcsán, egyebek mellett tovább korlátozza, hogy a fejlesztők milyen adatokat szolgáltathatnak ki a felhasználókról külső feleknek, kimondott hozzájárulás nélkül.