社群網站龍頭「臉書」今年連爆資安危機,繼4月科技公司「劍橋分析」竊取臉書高達8700萬用戶個資曝光後,臉書14日發文承認,其圖片應用程式介面爆發安全漏洞,高達680萬用戶未發布的照片,可能已獲第三方應用程式存取,臉書表示會盡快通知受影響的用戶,並協調第三方應用程式刪除外洩的照片。
相片外洩影響680萬用戶、1500個應用程式
臉書(Facebook)工程主任巴爾(Tomer Bar)14日在「臉書開發者」(Facebook for Developers)網誌上指出,今年9月13日至9月25日,臉書相片應用程式介面(Photos API)發生漏洞,第三方應用程式(third-party apps)能夠在此期間存取用戶分享在臉書拍賣市集(Marketplace)、限時動態(Stories)的照片,甚至用戶上傳到臉書,但未公開發布的照片也能存取。
巴爾解釋,臉書通常只會讓第三方應用程式,存取用戶在動態時報(Timeline)的相片,這項資安漏洞只有臉書授權能存取用戶相片的應用程式,以及授權應用程式存取相片的用戶會受到影響。目前臉書估計,這項漏洞可能影響680萬臉書用戶,以及由876個應用程式開發者所製作,多達1500個應用程式。
Facebook says a photo API bug exposed photos that users hadn’t yet shared to third-party developers. https://t.co/VQGdqddRvf
— CNBC (@CNBC) 2018年12月14日
臉書將通知受影響用戶 協助APP開發者刪照片
至於這些應用程式為何能存取用戶未公開發布的相片?巴爾指出,如果用戶上傳相片到臉書,但因故未發布出去,臉書會為用戶保存相片副本3天,確保用戶能夠回到臉書完成其貼文。
「我們很抱歉發生這件事」,巴爾說,下周起臉書將會為應用程式開發者推出工具,以確認哪些應用程式的用戶受漏洞影響。臉書也會與應用程式開發者合作,刪除受影響用戶的照片。
巴爾也承諾,會向可能受漏洞影響的用戶發送通知,這個通知會將用戶指引到幫助中心(Help Center)的連結,確認用戶是否受到漏洞影響,臉書也建議用戶登入那些具分享相片權限的應用程式,確認它們存取哪些相片。
發現漏洞2個月後才通報 臉書恐遭重罰
負責監督臉書是否遵守歐盟規範的「愛爾蘭資料保護委員會」(Irish Data Protection Commission,IDPC)14日也證實,IDPC本周已展開法定調查,確認臉書是否遵守歐盟5月正式施行的《通用資料保護規則》(General Data Protection Regulation,GDPR)。
GDPR堪稱全球最嚴的個資法,該法規定,企業一旦有資料外洩,必須在發現後於72小時內通知有關主管機關。若根據這次臉書的資安事件,臉書在9月25日了解並修補這些漏洞,但直到11月22日,臉書才通報主管機關,有可能已違反GDPR,最高可能處以2000萬歐元(新台幣7.1億元),或是全球4%年營收的罰鍰。
