Facebookで680万人のユーザーの未公開写真が流出した可能性が発覚

FacebookがAPIのバグによって、ユーザーの未投稿の写真がサードパーティ製アプリからアクセスできる状態だったと報告しました。写真漏洩の被害にあった可能性があるユーザーは680万人に及ぶそうです。

Notifying our Developer Ecosystem about a Photo API Bug - 開発者向けFacebook
https://developers.facebook.com/blog/post/2018/12/14/notifying-our-developer-ecosystem-about-a-photo-api-bug/

問題のバグを発見したのはGoogleのチーム。APIのバグにより、Facebookログインを利用できるサードパーティ製のアプリに対して写真へのアクセスを許可したユーザーのFacebook上で共有された写真にアクセスできる状態だったとのこと。通常、サードパーティアプリにはタイムライン上で共有している写真にしかアクセスが許可されませんが、バグのせいでMarketplaceやFacebook Storiesで共有している写真へのアクセスが可能で、さらにはFacebookサービスにアップロードしたものの、投稿していない写真に対してもアクセスできる状態になっていたそうです。通常、アップロードしたものの投稿が完了しなかった場合に備えて、Facebookでは写真のコピーを3日間保存する仕様になっているとのこと。

Facebookのエンジニアリングディレクターのトーマー・バー氏によると、写真へアクセスできたのは867人の開発者によって作られた合計1500個程度のアプリだとのこと。写真漏洩の可能性があったのは、Facebookがphotos APIへのアクセスを承認したアプリを使いユーザーが写真へのアクセスを許可した場合で、対象となるFacebookユーザーは最大680万人に及ぶそうです。

Facebookでは、今回のバグによって写真漏洩の可能性がある人に対してFacebookのアラートを通じて知らせるとのこと。通知にあるヘルプセンターのリンクからバグの影響を受けるアプリを使用しているかどうかを表示できるそうです。