Facebook : un nouveau bug a exposé les photos de 6,8 millions de personnes

Facebook

Facebook a révélé en fin de semaine dernière l’existence d’un bug de son API photo qui a affecté jusqu’à 6,8 millions de personnes sur 1.500 applications connectées à Facebook.

La faille est liée à l’autorisation que l’on accorde à une application d’accéder aux photos sur Facebook. Résultat, des photos téléchargées mais non affichées sur un profil Facebook étaient potentiellement accessibles à ces applications. Le bug a été provoqué par une erreur dans une mise à jour diffusée en Septembre.

L’API est seulement supposée permettre à une application tierce d’accéder aux photos partagées sur la timeline, mais le bug donnait un accès complet à d’autres photos, notamment celles téléchargées sur Facebook Stories ou même celles chargées mais jamais publiées.

« Par exemple, si quelqu’un télécharge une photo sur Facebook mais qu’il n’a pas fini de la poster, peut-être parce qu’il n’a plus de connexion ou qu’il doit rentrer en réunion, nous stockons une copie de cette photo pour que la personne l’ait quand elle retourne sur l’application pour compléter son post » explique Tomer Bar, le directeur technique de Facebook. Le réseau social assure que le bug n’a pas touché les photos dans Messenger.

Le bug a duré 12 jours

Le bug a perduré pendant 12 jours, entre le 13 et le 25 septembre. Facebook a indiqué qu’il allait déployer la semaine prochaine un outil permettant aux développeurs d’applications de déterminer si leurs utilisateurs ont été affectés par la faille de sécurité. Facebook avertira également par le biais d’alertes les millions de personnes dont les photos ont été exposées.

Bien que Facebook ait découvert la faille en septembre, l’entreprise explique qu’elle n’a pas communiqué pendant près de trois mois car elle enquêtait pour savoir combien de personnes étaient touchées.

Facebook dit avoir informé la Commission irlandaise de protection des données dès qu’il a découvert que la brèche était considérée comme devant être signalée en vertu des règles fixée par le RGPD au sein de l’Union européenne. « Nous avons entendu haut et fort que nous devons être plus transparents sur la façon dont nous construisons nos produits et dont ces produits utilisent les données des gens, y compris lorsque les choses tournent mal. C’est précisément le but de ce type de communication », a déclaré un porte-parole de Facebook.

On peut vérifier qu’elles applications ont accès aux photos sur Facebook en consultant les paramètres de confidentialité de son compte.

Source

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *