又來了!Facebook 坦承 Groups API 漏洞讓百名開發人員可存取使用者資料

作者 | 發布日期 2019 年 11 月 07 日 17:45 | 分類 Facebook , 公司治理 , 社群 Telegram share ! follow us in feedly


「劍橋分析」(Cambridge Analytica)醜聞曝光一年多後,Facebook 再次承認,一些開發人員存取不應該取得的使用者資料。

Facebook 6 日開發者部落格貼文表示,發現「大約 100 名合作夥伴」擁有額外存取權限之後,將改變 Groups 開發人員社群等存取許多 API 的權限。「我們最近發現,一些 App 從 Groups API 保留群組成員資訊的存取權限,例如與群組活動相關的姓名與大頭貼等資料,存取時間超出我們的預期。」

過去兩個月,至少有 11 名開發人員存取群組成員資訊,Facebook 補充:「雖然我們沒有看到濫用的證據,但我們會要求他們刪除任何已存的成員資料,我們將稽核以確認這些資料已刪除。」

Facebook 沒有透露這些 App 的名稱,但表示大多是社群媒體管理或視訊串流媒體 App,這些 App「專門用來協助群組管理員方便有效管理群組,並協助成員將影片分享到自己的群組」。

從劍橋醜聞事件後,Facebook 資料外洩事件仍不曾間斷

2018 年,洩露給劍橋分析公司 8,700 萬筆使用者資料後,Facebook 開始改變各種 API。劍橋公司不僅獲取大量從未與 App 有互動體驗使用者的資料,且承諾會刪除這些資料後仍保存許多年。

Facebook 最終支付 50 億美元,與聯邦貿易委員會(Federal Trade Commission, FTC)達成和解,並同意完全改變「合作夥伴」存取平台資料的方式。

Facebook 表示,2018 年的變更仍然允許群組管理員為某群組啟用 App,但卻限制這些 App 可收集的資訊,例如群組名稱、群組成員的名稱,以及「貼文內容」等。理論上,用戶將不得不選擇將姓名和個人大頭貼等其他資訊拉進來。然而,有鑑於 6 日更新,似乎並沒有完全照做。

今年 9 月,Facebook 中止約 400 名開發者的「數萬」App,原因是發現不當獲取資料、未將資料匿名化、安裝惡意軟體或違反公司服務條款。

(首圖來源:Flickr/Stock Catalog CC BY 2.0)