Black Hat Asia 2023

พบข้อผิดพลาด! นักพัฒนาแอปบน Facebook กว่า 5,000 รายยังเข้าถึงข้อมูลผู้ใช้งานได้เกิน 90 วัน

หลังจากกรณีของ Cambridge Analytica ทาง Facebook ก็ได้เพิ่มมาตรการป้องกันทางข้อมูล โดยข้อปฏิบัติหนึ่งคือจะไม่อนุญาตให้ API เข้าถึงข้อมูลผู้ใช้ที่ไม่ Active เกิน 90 วันได้ แต่วันนี้ดูเหมือนว่าเรื่องจะไม่เป็นอย่างนั้นเพราะ Facebook ได้ออกมายอมรับว่าที่มั่นใจมาตลอดนั้นไม่ได้เป็นไปด้วยดี

Credit: Facebook

Facebook ตรวจพบว่านักพัฒนากว่า 5,000 คนยังคงสามารถเข้าถึงข้อมูลผู้ใช้งานที่ไม่ Activeได้หลังเกิน 90 วัน โดย Facebook ก็มองโลกในแง่ดีว่า ข้อมูลที่เข้าถึงได้นั้นเท่าเดิมกับที่ผู้ใช้งานอนุญาตให้แอปนั้นอยู่แล้ว พูดง่ายๆว่าข้อมูลไม่ได้เพิ่มขึ้นแค่ติดตามการเปลี่ยนแปลงข้อมูลเหล่านั้นของผู้ใช้งานมาตลอด ซึ่งล่าสุดทีมงานก็ได้แก้ไขข้อบกพร่องเรียบร้อย และพยายามรีวิว Log ว่ามีผลกระทบกับใครมากน้อยแค่ไหน

นอกจากนี้ Facebook ยังได้ประกาศ Policy บังคับใช้กับนักพัฒนาเพิ่มขึ้น เช่น การจำกัดการแชร์ข้อมูลกับ Third-party โดยที่ผู้ใช้งานไม่รับรู้ และทำให้นักพัฒนาทราบถึงความรับผิดชอบต่อข้อมูลที่ได้มา และอื่นๆ

ที่มา :  https://www.zdnet.com/article/facebook-says-5000-app-developers-got-user-data-after-cutoff-date/ และ  https://techcrunch.com/2020/07/02/facebook-discovers-it-shared-user-data-with-at-least-5000-app-developers-after-a-cutoff-data/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

พลิกมุมคิดการจัดการคลาวด์ไอทีอย่างสมาร์ตฉบับวีเอ็มแวร์ [Guest Post]

แม้คลาวด์จะกลายเป็นส่วนหนึ่งของการพาองค์กรก้าวข้ามวิกฤตไปสู่การสร้างสรรค์โมเดลธุรกิจหรือกลยุทธ์การแข่งขันใหม่ ด้วยคุณลักษณะที่คล่องตัว (Agility) ในการปรับความต้องการใช้งานโดยอัตโนมัติ (Auto-Scaling) ได้ด้วยตัวเอง (Self-Services) ทว่าหลายองค์กรซึ่งเลือกปฏิวัติระบบธุรกิจขึ้นสู่คลาวด์กลับประสบปัญหาการจัดการทรัพยากรที่ยิบย่อยบนคลาวด์ไม่ไหว แถมหัวจะปวดกับภัยคุกคามที่ยุ่งยากในการป้องกัน ด้วยเหตุนี้ ความคาดหวังต่อไอทีคลาวด์ยุคถัดไป คือ การปรับแต่งแอปพลิเคชันและแพลตฟอร์มคลาวด์ไอทีให้ทันสมัยตรงต่อความต้องการทางธุรกิจ ภายใต้ระบบการรักษาความปลอดภัยแบบองค์รวมที่แข็งแกร่ง ทั่วถึง และเป็นอัตโนมัติกว่าเดิม

Microsoft Teams, VirtualBox, Tesla ถูกเจาะ Zero-days ในงาน Pwn2Own

Microsoft Teams, VirtualBox, Tesla ถูกเจาะ Zero-days ในงาน Pwn2Own Vancouver 2023 ผู้เข้าแข่งขันกวาดเงินรางวัลสูงสุด 475,000 เหรียญ หรือประมาณ 16 …