У середу 1 липня Facebook у своєму офіційному блозі визнала, що нещодавно тисячі сторонніх розробників змогли знову отримати доступ до даних користувачів соціальної мережі. Виявилося, що в механізмі захисту даних користувачів соцмережі не завжди коректно працювала блокування.
Відтак доступ до даних отримали понад 5 000 розробників сторонніх додатків і сервісів, якщо користувач в них авторизуватися через Facebook і не запускав додаток протягом 90 днів. Додатки продовжували отримувати та аналізувати дані користувача з соцмережі, включаючи їх імена, ідентифікатори, електронну пошту та іншу контактну інформацію.
Facebook не розкрила, як довго ця ситуація тривала до того, як вона була виявлена, а також загальну кількість користувачів, дані яких могли бути ненавмисно передані третім особам.
Однак, Facebook також заявила, що проблема існувала "останні кілька місяців", а користувачі самі раніше дозволяли додаткам отримувати ці дані. Причому розробникам не передавалася жодна додаткова інформація, окрім тієї, що користувач дозволив в налаштуваннях конфіденційності додатка поки його обліковий запис у Facebook все ще був активним.
Facebook посилює політику конфіденційності
Наразі фахівці компанії усунули проблему з конфіденційністю даних. До того ж Facebook вирішила посилити політику конфіденційності, щоб розробники розуміли свою відповідальність за призначені для користувача дані і факти їх некоректного отримання.
Ця не перша оприлюднена соцмережею історія про витік даних користувачів Facebook. Так, після серії інцидентів та скандалу з Cambridge Analytica, в ході якого були скомпрометовані понад 80 мільйонів профілів користувачів, компанія змінила і посилила механізм конфіденційності даних користувачів.
Тоді ж розробникам додатків обмежили доступ до інформації користувачів і Facebook додав до свого API новий механізм, який запобігав доступ додатків до даних користувача, якщо користувач не використав додаток більше ніж 90 днів.
Чому це важливо
Витік особистих даних небезпечний для користувачів не лише спам-дзвінками, а й атаками з підмінами SIM-карт, коли зловмисники обманом змушують операторів зв'язку віддавати номери користувачів. Володіючи чужим номером телефону, зловмисник може примусово скинути пароль для всіх облікових записів користувача, пов'язаних з цим номером. Таку атаку минулого року навіть використовували для злому аккаунта Twitter засновника сервісу мікроблогів Джека Дорсі.