Szerző: Hlács Ferenc

2020. július 2. 12:30

Ötezer fejlesztő fért hozzá illetéktelenül Facebook felhasználók adataihoz

Nem működött rendesen az engedélyek automatikus visszavonása, a Facebook már javította a hibát.

Újabb biztonsági fiaskóról számolt be a Facebook: a közösségi óriás egy hiba miatt mintegy ötezer fejlesztővel azt követően is megosztott adatokat, hogy azok alkalmazásainak hivatalosan már nem lehetett volna hozzáférése a Facebookon tárolt felhasználói információkhoz. A szóban forgó bugot a vállalat a felfedezés napján be is foltozta.

A Facebook a bő két évvel ezelőtti Cambridge Analytica botrányt követően erősítette meg biztonsági rendszereit, az intézkedések részeként pedig azt is korlátozta, hogy API-jain keresztül a fejlesztők meddig juthatnak hozzá az alkalmazásaikban egyébként már inaktív felhasználók adataihoz. Eszerint ha egy adott appot a felhasználó 90 napig nem használ, az alkalmazás elveszti a hozzáférést a közösségi oldalon tárolt információihoz.

fbillll

Azonban mint kiderült, a megoldás korántsem működött kifogástalanul, és ötezer fejlesztő számára a határidő lejártát követően is lehetővé tette, hogy rálássanak az alkalmazásaikat használók facebookos adataira.

Machine recruiting: nem biztos, hogy szeretni fogod

Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

Azt a vállalat nem árulta el, hogy a probléma pontosan hány felhasználót érintett, viszont sietett hangsúlyozni, hogy az appok soha nem fértek hozzá több adathoz, mint amennyire az első használatbavételkor engedélyt kaptak, így jó eséllyel a 90 nap leteltével sem kaptak új információkat, kivéve persze ha a felhasználó időközben módosította profiladatait - egyelőre ugyanakkor azt sem közölte a Facebook, milyen adatok kerültek ki illetéktelenül, kapcsolódó blogposztjában mindössze annyit ír, a felhasználók beszélt nyelvéhez és neméhez hasonló információkról van szó. A vállalat még folytatja vizsgálatát az ügyben, mindenesetre eddig nem talált az adatokkal való visszaélésre utaló jelet.

Az üggyel párhuzamosan a cég néhány további biztonsági szigorítást is bevezetett a harmadik felek adatkezelése kapcsán, egyebek mellett tovább korlátozza, hogy a fejlesztők milyen adatokat szolgáltathatnak ki a felhasználókról külső feleknek, kimondott hozzájárulás nélkül.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról