近期负面新闻不断的 Facebook,2 日再爆丑闻,承认因系统漏洞,未获授权下给予约 5 千名开发者可存取用户个资。Facebook 自 2018 年起就设限,当用户连续 90 日没有使用某程式,自动禁止开发者取得该用户资料,当 90 日期限过去,开发者需要重新向用户要求取得权限。
这次漏洞就是因上述自动上锁系统失灵,Facebook 平台合作伙伴副总裁 Konstantinos Papamiltiadis 表示,他们发现部分程式在用户没有使用 90 天后,依然在未获授权下继续取得用户资料。Papamiltiadis 举例有用户利用健身程式邀请朋友一同锻炼,但 Facebook 未察觉该用户的朋友已有多月未使用程式。
Papamiltiadis 强调发现问题的同一天,就修复漏洞,但没透露有多少用户受这次事件影响。上面提到 90 日后自动取消存取授权,本来是源于容许第三方取用用户数据的剑桥分析丑闻,但现在发现原来这机制有漏洞,未真正保障用户的资料不被第三方取得。
- Facebook again admits to wrongly sharing user data with third-party apps
(本文由 Unwire HK 授权转载;首图来源:pixabay)