Facebook、APIのバグで680万人の未投稿写真を流出した可能性

Facebookは現地時間12月14日、写真のAPIに関するバグが原因で、サードパーティアプリに対し、Facebookのログインを利用したユーザーに写真へのアクセス権を意図せず付与してしまった可能性があると発表した。

影響を受けた恐れのあるユーザーは最大680万人、利用した可能性があるアプリは最大1,500本。影響を受けた可能性があるユーザーの条件は、2018年9月13日から9月25日までの12日間、Facebookログインを利用してサードパーティアプリに写真へのアクセスを許可した人。

マーケットプレイス、ストーリーズ、未投稿写真もアクセス可能に

本来は、ユーザーがFacebookアプリに対して写真のアクセスを許可した場合、アプリはタイムライン上でシェアされた写真に対してアクセスすることができないはずだった。

ところが今回発覚した写真のAPIバグは、マーケットプレイスやストーリーズに投稿された写真に対してもアクセス可能な状態にしてしまっていた。

さらに、アップロードしようとして投稿が完了しなかった写真も対象。これは、例えば電波の悪い状況で投稿しようとして失敗した時に、アプリを再度開いた時に投稿し直すことができるように一時的に保存される仕組みになっているようだが、この写真も意図せずアクセス可能な状態になっていたという。