Даже если вы еще не разместили фотографию на своей странице в Facebook, уязвимость могла показать её сотням разработчиков. Представители социальной сети в пятницу 14 декабря рассказали об уязвимости в photo API, которая затрагивает около 6,8 миллионов пользователей. Когда вы даете разрешение на доступ к вашим фотографиям, приложение может обращаться ко всем фотографиям в вашем профиле как к общедоступным, так и к скрытым. Баг был вызван ошибкой в коде сентябрьского обновления.
API должно было предоставлять сторонним приложениям доступ к фотографиям из вашего таймлайна, но из-за бага разработчики могли получить полный доступ к фотографиям пользователя, таким как Facebook Stories или к тем, которые пользователь загрузил, но никогда не выкладывал. В Facebook о проблеме знали еще в сентябре и не рассказывали пользователям об уязвимости в течение трех месяцев, все это время компания пыталась выяснить, сколько людей затронула данная уязвимость.
“Например, если кто-то загружает фотографию в Facebook, но не публикует её - возможно, из-за того, что он отошел или пошел на встречу - мы сохраняем копию этой фотографии, чтобы она была у человека, когда он вернется в приложение, чтобы опубликовать фотографию” – Написал технический директор Facebook Томер Бар.
Стоит отметить, что данная уязвимость не затрагивает Facebook Messenger.
Баг просуществовал всего 12 дней, с 13 сентября по 25. Всех, кого коснулась данная уязвимость, Facebook оповестит в течение недели.
“Мы извиняемся за произошедшее” – Подытожил Томер Бар.
[Источник]