เมื่อปลายสัปดาห์ที่ผ่านมา Facebook ออกประกาศเงียบๆ ว่าเจอบั๊กบน API ของระบบแชร์รูปภาพ ที่ทำให้ผู้พัฒนาแอพกว่า 876 ราย เข้าถึงรูปภาพที่ผู้ใช้ตั้งค่าให้แสดงเป็นการส่วนตัว หรือภาพที่ผู้ใช้ไม่เคยแชร์สาธารณะบนไทม์ไลน์ได้ ซึ่งรวมถึงภาพที่อัพขึ้นส่วนของ Marketplace และ Facebook Stories
โดยเฟสบุ๊กอธิบายว่า “ปกติเมื่อผู้ใช้กดอนุญาตให้แอพภายนอกเข้าถึงรูปตัวเองบนเฟสบุ๊กนั้น เราจะเปิดให้เข้าถึงเฉพาะรูปที่ผู้ใช้แชร์ขึ้นไทม์ไลน์แบบสาธารณะเท่านั้น แต่ในกรณีนี้ บั๊กดังกล่าวอาจทำให้นักพัฒนาแอพเข้าถึงรูปอื่นๆ ได้ด้วย”
ช่องโหว่นี้ทำให้ข้อมูลส่วนตัวของผู้ใช้ถูกเปิดเผยสู่ภายนอกเป็นเวลา 12 วัน ตั้งแต่ช่วงวันที่ 13 – 25 กันยายน ซึ่งเป็นวันที่เฟสบุ๊กพบช่องโหว่และแก้ไข เฟสบุ๊กยังระบุเพิ่มเติมว่า คาดจำนวนผู้ใช้ที่ได้รับผลกระทบรวมประมาณ 6.8 ล้านราย ที่ถูกเปิดเผยภาพส่วนตัวให้แก่แอพกว่า 1,500 รายการจากนักพัฒนา 876 คน
ทั้งนี้ เฟสบุ๊กได้ขึ้นข้อความแจ้งเตือนผู้ใช้ที่โดนหางเลขบนไทม์ไลน์ว่ารูปของผู้ใช้อาจถูกเผยแพร่สู่สาธารณะ รวมทั้งเตรียมออกทูลสำหรับนักพัฒนาแอพเพื่อช่วยในการหาผู้ใช้ที่อาจได้รับผลกระทบจากบั๊กดังกล่าว รวมทั้งประสานกับนักพัฒนาอย่างใกล้ชิดเพื่อลบรูปที่พวกเขาไม่ควรมีสิทธิ์เข้าถึง
ที่มา : Thehackernews
