近期負面新聞不絕的 Facebook,昨日再爆醜聞,該社交平台承認因為系統有漏洞,在未獲授權下給予約 5,000 名開發者訪問用戶的個人資料。Facebook 自從 2018 年起設定了限制,當用戶連續 90 日沒有使用某程式,就會自動禁止開發者取得該用戶的資料,當 90 日期限過去,開發者需要重新向用戶要求取得權限。
今次漏洞就是因為上述的自動上鎖系統失靈所致,Facebook 平台合作伙伴副總裁 Konstantinos Papamiltiadis 表示,他們發現部份程式在用戶沒有使用 90 天后,依然在未獲授權下繼續取得用戶的資料。Papamiltiadis 舉例有用戶利用健身程式邀請朋友一同鍛煉,但 Facebook 未能察覺該用戶的朋友已經有多個月未有使用該程式。
Papamiltiadis 強調在發現問題的同日,已經將漏洞修復,但就未有透露有多少用戶受今次事件影響。上面提到 90 日後自動取消存取授權,本來是源於容許第三方取用用戶數據的劍橋分析醜聞,但現在則發現原來該機制存在漏洞,並未能真正保障用戶的資料免被第三方取得。
來源:thenextweb