Facebookの欠陥により5,000人の開発者がユーザーの個人データを収集できるように

Facebookは、約5,000人のアプリ開発者に対して、90日間のカットオフ期間後も一部のユーザーの個人データを誤って共有したことを認めました。

知らない方のために、2018年のケンブリッジ・アナリティカのアプリスキャンダルの後、8700万人のFacebookユーザーの個人データが侵害されたことを受けて、ソーシャルメディアの巨人は以下の90日間のロックアウトポリシーを確立しました。このポリシーは、ユーザーが90日間アプリを使用していない場合、サードパーティのアプリ開発者がユーザーデータにアクセスできないようにします。

データアクセスの有効期限は90日で、ユーザーが最後にアクティブだった時点に基づいています。この90日間の期間が終了すると、ユーザーは引き続きアプリにアクセスできます。つまり、ユーザーはまだ認証されていますが、アプリはユーザーデータにアクセスできません。データアクセスを再取得するには、アプリがユーザーにアプリの権限を再認証するように求める必要があります。

水曜日に、Facebookは非アクティブを記録する方法に欠陥があったため、約5,000人の開発者がデータへのアクセスの90日間の制限が切れた後もユーザープロフィールからデータを収集できるようになったと説明しました。

「最近、私たちはいくつかのケースで、アプリが過去にユーザーが承認したデータを受け取り続けていることを発見しました。たとえそのアプリが過去90日間使用されていないように見えたとしても」と、Facebookはブログ投稿で認めました。

「たとえば、誰かがフィットネスアプリを使用して故郷の友人をワークアウトに招待した場合、私たちはその友人の中に何ヶ月も非アクティブな人がいることを認識しなかった可能性があります。

「私たちが利用可能な過去数ヶ月のデータから、現在この問題により約5,000人の開発者が、私たちのシステムが認識する90日間の非アクティブを超えて情報を受け取り続けることができたと推定しています。たとえば、言語や性別などです。」

Facebookは、この問題を発見した後に修正されたと述べ、引き続き調査を行い、主要な更新に関する透明性を優先するとしています。影響を受けたユーザーの数については言及しませんでした。

会社の代表者は次のように述べました。「この問題が、ユーザーがFacebookを使用してログインした際に与えた権限と矛盾する情報の共有を引き起こしたという証拠は見られません。」

同じブログ投稿で、Facebookはプラットフォームの利用規約と開発者ポリシーを簡素化し、データの使用と共有に関する明確なガイダンスを開発者に提供し、「ビジネスと開発者が私たちのプラットフォームを使用する際にデータを保護し、人々のプライバシーを尊重する責任を明確に理解できるようにする」と発表しました。

また、「これらの新しい規約は、開発者が明示的な同意なしに第三者と共有できる情報を制限します。また、データセキュリティ要件を強化し、開発者がデータを削除しなければならないタイミングを明確にします。これらの変更は、私たちのプラットフォームを改善し、Facebook上のアプリを使用する人々により信頼できる体験を提供する方法の一部です。」と付け加えました。