Facebook已經發(fā)布了一個API錯誤，可能會暴露出比第三方開發(fā)者用戶更多的照片。

通常，F(xiàn)acebook的照片API限制第三方訪問用戶已經共享到其公共源的圖像。然而，由于這個漏洞，該公司表示上傳到Marketplace的照片，其Craigslist式的買賣服務以及類似Snapchat的Facebook Stories可能已被其他應用程序訪問。

此外，作為預期新帖子的一部分上傳到Facebook的照片可能在不知不覺中暴露給公眾。

該公司表示，該漏洞可能會影響多達680萬人，他們使用Facebook的登錄系統(tǒng)在876名開發(fā)人員的大約1,500個應用程序中進行身份驗證。此外，F(xiàn)acebook表示該漏洞在2018年9月13日至9月25日的12天期間有效。

“我們的內部團隊發(fā)現(xiàn)了一張照片API錯誤，可能會影響使用Facebook登錄并授權第三方應用訪問其照片的人，”Facebook的工程總監(jiān)Tomer Bar在一篇博文中寫道。

規(guī)模

雖然相對于Facebook 20億用戶群而言，這個漏洞的整體規(guī)模很小 ，但對于該公司而言，這個新聞正處于一個敏感的時刻，而這一時期仍然受到一系列隱私和安全問題的影響。除了廣泛宣傳的 劍橋Analytica丑聞 在3月爆發(fā)了公眾??的意識之外，F(xiàn)acebook還透露，它無意中為公眾設置了1400萬用戶的隱私設置以進行狀態(tài)更新，后來又發(fā)現(xiàn)另一個數(shù)據(jù)泄露事件影響了近5000萬個賬戶。

Facebook沒有透露何時發(fā)現(xiàn)最新的錯誤，但 歐洲的通用數(shù)據(jù)保護法規(guī)(GDPR)要求公司在發(fā)現(xiàn)后的72小時內向相應的歐洲當局報告此類數(shù)據(jù)泄露事件 - 如果不這樣做可能會導致巨額罰款。

該公司補充說，它現(xiàn)在已經修復了該錯誤，它將通過警報通知可能受影響的人訪問幫助中心鏈接。它還表示，它將與開發(fā)人員合作，確定誰受到影響，并刪除第三方沒有明確許可收集的任何照片。

“我們很抱歉這件事發(fā)生了，”Bar補充道。“下周初，我們將推出適用于應用開發(fā)者的工具，以便他們確定使用其應用的用戶可能會受到此錯誤的影響。我們將與這些開發(fā)人員合作，刪除受影響用戶的照片。“

*更新： Facebook告訴VentureBeat它在9月25日發(fā)現(xiàn)了這個漏洞，并且一旦確定它被認為是可報告的漏洞，它就通知愛爾蘭數(shù)據(jù)保護專員(IDPC) - 這發(fā)生在11月22日。該公司沒有'詳細說明如何花費將近兩個月的時間來確定這是一個可報告的漏洞，除了說明它正在調查漏洞。