พบบั๊กบน Facebook API รูปภาพของผู้ใช้กว่า 6.8 ล้านคนเสี่ยงหลุดสู่ภายนอก

Facebook ออกแถลงการณ์ พบบั๊กบน Application Programming Interface (API) สำหรับรูปภาพบนแพลตฟอร์มโซเชียลมีเดียของตน ซึ่งอาจทำให้บุคคลที่สามสามารถเข้าถึงรูปภาพของผู้ใช้กว่า 6,800,000 คนเกินกว่าที่กำหนดไว้ได้โดยไม่ได้รับอนุญาต

Credit: JaysonPhotography/ShutterStock.com

แอปพลิเคชันที่ได้รับสิทธิ์ในการเข้าถึงรูปภาพ ส่วนมากมักจะถูกจำกัดเฉพาะรูปที่โพสต์บนไทม์ไลน์ของเจ้าของบัญชี Facebook อย่างไรก็ตาม ระหว่างช่วง 2 สัปดาห์ของวันที่ 13 – 25 กันยายนที่ผ่านมา มีความผิดพลาดเกิดขึ้นบนโค้ดส่วน Photo API ที่ทำการอัปเดตใหม่ ซึ่งทำให้สิทธิ์ในการเข้าถึงรูปภาพดังกล่าวถูกขยายออกไปยังส่วนอื่นๆ เช่น Marketplace หรือ Facebook Stories รวมไปถึงรูปภาพที่เจ้าของไม่ได้เผยแพร่ออกไป (รูปภาพดังกล่าวนี้เกิดจากการที่ผู้ใช้ทำการอัปโหลดรูปขึ้น Facebook แต่ยังไม่ได้โพสต์ออกไป อาจจะเป็นเพราะเกิดเปลี่ยนใจ หรือไปทำกิจกรรมอย่างอื่นก่อน Facebook จะทำการเก็บรูปไว้ชั่วคราว เผื่อผู้ใช้กลับมาโพสต์ต่อให้จบ) ส่วนรูปภาพที่แชร์ผ่าน Facebook Messenger นั้นไม่ได้รับผลกระทบแต่อย่างใด

Facebook ได้ทำการตรวจสอบเบื้องต้น พบว่าปัญหาดังกล่าวส่งผลกระทบต่อผู้ใช้ราว 6,800,000 คน และมีแอปพลิเคชัน 1,500 รายการจากนักพัฒนา 876 รายที่สามารถเข้าถึงรูปภาพอื่นๆ ของผู้ใช้ได้โดยไม่ต้องรับความยินยอมก่อน อย่างไรก็ตาม ต้องเข้าใจตรงกันว่าแอปพลิเคชันเหล่านี้ อย่างน้อยก็ได้รับอนุมัติในการเข้าถึง Photoi API ของ Facebook และมีสิทธิ์ในการเข้าถึงรูปภาพบนไทม์ไลน์ของผู้ใช้อยู่ก่อนแล้ว

เนื่องจากขณะเกิดเหตุนั้น Facebook ไม่สามารถระบุได้ชัดเจนว่า แอปพลิเคชันใดที่เรียกใช้ API ที่มีปัญหาบ้าง ทางบริษัทฯ จึงตัดสินใจแจ้งเตือนไปยังผู้ใช้ทั้งหมดที่มีการใช้ 1 ใน 1,500 แอปพลิเคชันเหล่านั้น ในขณะที่แจ้งไปยังนักพัฒนาเจ้าของแอปพลิเคชันให้ตรวจสอบรูปภาพที่มี และจัดการลบรูปที่ไม่สมควรได้รับอนุญาตให้เข้าถึงทิ้งไป

จนถึงตอนนี้ Facebook แก้ไขบั๊กบน Photo API เป็นที่เรียบร้อยแล้ว สำหรับผู้ใช้ที่ได้รับผลกระทบ จะมี Notification แจ้งเตือนบน Facebook ซึ่งจะลิงค์ไปยังหน้า Help Center เพื่อให้ตรวจสอบถึงผลกระทบที่ตนเองได้รับ และแอปพลิเคชันที่อาจจะมีสิทธิ์เข้าถึงรูปภาพเกินกว่าขอบเขตที่กำหนดไว้

ที่มา: https://www.bleepingcomputer.com/news/security/facebook-photo-api-bug-exposed-pics-of-up-to-68-million-users/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เปลี่ยนประสบการณ์การทำงานและการให้บริการ ผสานข้อมูล Location ภายในอาคารเข้ากับ Application ของธุรกิจและองค์กร

"ประสบการณ์" ได้กลายเป็นประเด็นสำคัญที่หลายๆ ธุรกิจเริ่มหยิบยกมาเป็นประเด็นแข่งขันเพื่อเอาชนะใจลูกค้าด้วย Customer Experience ไปจนถึงการเพิ่มประสิทธิภาพการทำงานของพนักงานในองค์กรเองก็ตามที ซึ่ง Aruba ผู้นำทางด้านระบบเครือข่ายสำหรับธุรกิจองค์กรเองนั้น ก็ได้มีลูกค้าทั่วโลกมากมายที่ทำการเปลี่ยนประสบการณ์ทั้งสำหรับลูกค้าและพนักงานภายในองค์กร ด้วยการนำข้อมูล Location หรือตำแหน่งภายในอาคารมาประยุกต์ใช้ เพื่อสร้างประสบการณ์รูปแบบใหม่ให้กับสินค้า, บริการ และกระบวนการในการทำงานต่างๆ ให้ดียิ่งขึ้นในมุมที่หลายคนอาจคิดไม่ถึงกันมาก่อน

Tenable Webinar: ลด Cyber Exposure ในองค์กร ด้วยพรบ.การรักษาความมั่นคงปลอดภัยไซเบอร์ โดย Tenable

Tenable ขอเรียนเชิญผู้บริหารฝ่าย IT, ผู้จัดการ IT Security, ผู้จัดการ IT, ทีมงาน Security Engineer และผู้ดูแลระบบ IT เข้าร่วมฟัง Webinar ในหัวข้อเรื่อง "ลด Cyber Exposure ในองค์กร ด้วยพรบ.การรักษาความมั่นคงปลอดภัยไซเบอร์ โดย Tenable" เพื่อทำความรู้จักกับ Cyber Exposure, บทเรียนด้าน Cybersecurity จากเหตุการณ์ต่างๆ และการประยุกต์นำพรบ.การรักษาความมั่นคงปลอดภัยไซเบอร์มาใช้เสริมความมั่นคงปลอดภัยให้กับธุรกิจองค์กร ในวันพุธที่ 7 สิงหาคม 2019 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้