Facebookは今朝、photoapiシステムにバグがあり、写真を投稿していなくてもサードパーティーのアプリ開発者に写真が公開される可能性があると発表しました。9月13日から25日まで、この虫は存在していた。

ここでのコツは、とてもシンプルです。Facebookは、アプリケーション開発者がFacebookをベースとした追加ツールを構築するためのAPIを提供しています。その一つがphotosapiで、開発者がユーザーの写真にアクセスし、さまざまなユーティリティを提供することを可能にします。しかし、ユーザーが自分の写真へのアクセスを許可する場合、通常はタイムラインの写真に限定されます。

しかし、今回新たに公開された写真のバグにより、最大1,500のアプリが、ストーリーに共有された写真やマーケットプレイス上の写真を含む、すべてのユーザーの写真にアクセスすることが可能になりました。さらに重要なのは、言い換えれば、アップロードされたものの下書きとして投稿されなかった写真も、これらの開発者が見ることができることです。写真をアップロードしても、フォローしない場合は、自動的に下書きとして保存されます（特に削除しない限り）。

Facebookは、この脆弱性が「最大680万人のユーザーと、876人の開発者が開発した最大1,500のアプリ」に影響を与えたと発表しています。これはかなり大きな数字で、Facebookはこの問題に対処していますが、ユーザーに公表するのに3カ月もかかったことは衝撃的です。これは、Facebookが過去数カ月にわたって対処してきた長い問題の中の、もう一つのポイントに過ぎません。

Facebookによると、この脆弱性の影響を受ける可能性のあるネットワーク上のユーザーには通知するとのことですので、十分ご注意ください。

Facebookデベロッパー経由