Facebook今天宣布了另一起影響其數(shù)百萬(wàn)客戶的安全事件。這一次，該公司表示，其中一個(gè)API的漏洞暴露了近680萬(wàn)用戶的私人照片。

Facebook將這一新漏洞歸咎于其后端代碼中出現(xiàn)的Photo API錯(cuò)誤，該漏洞存在于2018年9月13日至9月25日之間。

該公司表示，在此期間，該漏洞允許Facebook第三方應(yīng)用程序訪問(wèn)的不僅僅是用戶的公開(kāi)照片。Facebook開(kāi)發(fā)人員Tomer Bar提供了有關(guān)Photo API漏洞泄漏的以下說(shuō)明：

當(dāng)有人允許某個(gè)應(yīng)用在Facebook上訪問(wèn)他們的照片時(shí)，我們通常只允許該應(yīng)用訪問(wèn)他們?cè)跁r(shí)間軸上分享的照片。在這種情況下，該漏洞可能會(huì)讓開(kāi)發(fā)人員訪問(wèn)其他照片，例如在Marketplace或Facebook Stories上共享的照片。該錯(cuò)誤還影響了人們上傳到Facebook但選擇不發(fā)布的照片??。例如，如果有人將照片上傳到Facebook但沒(méi)有完成發(fā)布 - 也許是因?yàn)樗麄儊G失了接待或走進(jìn)了會(huì)議 - 我們存儲(chǔ)了該照片的副本，以便當(dāng)他們回到應(yīng)用程序時(shí)該人擁有它完成他們的職位。

Bar表示，F(xiàn)acebook調(diào)查顯示，876名開(kāi)發(fā)者構(gòu)建的1,500個(gè)應(yīng)用程序可能能夠訪問(wèn)多達(dá)680萬(wàn)用戶的非公開(kāi)照片。

目前還不清楚是否有任何這些應(yīng)用程序?yàn)E用該錯(cuò)誤來(lái)實(shí)際訪問(wèn)和下載用戶的私人和非張貼照片。

Facebook表示將開(kāi)始通知受影響的用戶。這些用戶包括安裝了1,500個(gè)應(yīng)用程序中的任何一個(gè)并授予應(yīng)用程序訪問(wèn)其照片的權(quán)限的用戶。上面顯示的通知將列出用戶已安裝的應(yīng)用程序，允許用戶根據(jù)需要卸載它們。用戶還可以訪問(wèn)專用網(wǎng)頁(yè)，了解他們是否受到影響。

今年早些時(shí)候，F(xiàn)acebook宣布一名未知的威脅演員使用三個(gè)錯(cuò)誤的組合從超過(guò)5000萬(wàn)用戶下載個(gè)人數(shù)據(jù)，這個(gè)數(shù)字后來(lái)降級(jí)為3000萬(wàn)。

Facebook也是第三家宣布其API中的主要錯(cuò)誤的主要技術(shù)公司。Twitter在9月宣布了一個(gè)類似的API問(wèn)題，谷歌宣布了兩個(gè)API問(wèn)題，一個(gè)在10月份(50萬(wàn)用戶受影響)，另一個(gè)在12月份(5250萬(wàn)用戶受影響)。