Уязвимость Facebook позволила 5,000 разработчиков собирать личные данные пользователей

Facebook признал, что случайно поделился некоторыми личными данными пользователей с примерно 5,000 разработчиков приложений, даже после истечения 90-дневного срока.

Для тех, кто не в курсе, после скандала с приложением Cambridge Analytica в 2018 году, в результате которого были скомпрометированы личные данные 87 миллионов пользователей Facebook, социальная сеть установила нижеуказанную политику блокировки на 90 дней, которая блокирует доступ разработчиков сторонних приложений к данным пользователей, если приложение не использовалось пользователем в течение 90 дней.

Срок истечения доступа к данным составляет 90 дней, начиная с момента последней активности пользователя. Когда этот 90-дневный срок истекает, пользователь все еще может получить доступ к вашему приложению — то есть он все еще аутентифицирован — но ваше приложение не может получить доступ к его данным. Чтобы восстановить доступ к данным, ваше приложение должно попросить пользователя повторно авторизовать разрешения вашего приложения.

В среду Facebook объяснил, что ошибка в том, как он фиксировал неактивность, позволила около 5,000 разработчиков собирать данные из профилей пользователей, даже после того, как их 90-дневный лимит доступа к данным истек.

«Недавно мы обнаружили, что в некоторых случаях приложения продолжали получать данные, которые люди ранее авторизовали, даже если казалось, что они не использовали приложение в последние 90 дней», — признал Facebook в блоге.

«Например, это могло произойти, если кто-то использовал фитнес-приложение, чтобы пригласить своих друзей из родного города на тренировку, но мы не распознали, что некоторые из их друзей были неактивны в течение многих месяцев.

«Из последних нескольких месяцев доступных нам данных мы в настоящее время оцениваем, что эта проблема позволила примерно 5,000 разработчиков продолжать получать информацию — например, язык или пол — сверх 90 дней неактивности, как это признавали наши системы.»

Facebook сообщил, что проблема была исправлена после ее обнаружения, и они продолжат расследование и приоритизировать прозрачность в отношении любых крупных обновлений. Он не упомянул, сколько пользователей было затронуто.

Представитель компании заявил: «Мы не видели доказательств того, что эта проблема привела к обмену информацией, которая была бы несовместима с разрешениями, которые люди предоставили при входе с помощью Facebook.»

В том же блоге Facebook также объявил, что упростил свои условия платформы и политику для разработчиков, чтобы предоставить разработчикам более четкие рекомендации по использованию и обмену данными и «обеспечить, чтобы бизнес и разработчики четко понимали свою ответственность за защиту данных и уважение к личной жизни людей при использовании нашей платформы.»

Он также добавил: «Эти новые условия ограничивают информацию, которую разработчики могут делиться с третьими сторонами без явного согласия людей. Они также усиливают требования к безопасности данных и уточняют, когда разработчики должны удалять данные. Эти изменения — лишь некоторые из способов, которыми мы улучшаем нашу платформу и создаем более надежные впечатления для людей, использующих приложения на Facebook.»