資安業者賽門鐵克公司(Symantec)指出,全球最大社群網站Facebook的資訊安全意外出現漏洞,讓廣告商等第三方業者得以取得使用者的個人檔案、相片、聊天內容和其他隱私資料。
Facebook回應表示,已經修復這個漏洞,也未發現此漏洞已導致隱私資訊外洩的證據。
賽門鐵克10日表示,這些漏洞集中於Facebook的應用程式;這些程式大多由第三方程式開發業者製作,允許使用者在Facebook網站上玩遊戲和購物等。
在某些狀況下,這些應用程式會和廣告商與分析業者分享所謂的存取權限(access token);人們可藉這些權限利用使用者的帳號取得或發布資訊,包括閱讀塗鴉牆內容、看到朋友的個人資訊、在塗鴉牆上發表資訊,甚至挖掘個人資訊。
賽門鐵克估計,迄4月止這項漏洞共影響近10萬個Facebook 應用程式,且自2007年Facebook推出應用程式以來,可能已有數十萬個應用程式無意間把數百萬名使用者的存取權限洩漏給第三方業者。
第三方業者可能沒發現自己有能力存取這些資訊,不過賽門鐵克研究員竇希(Nishant Doshi)在部落格上說,這些存取權限外洩的影響層面非常廣泛。
獲賽門鐵克通知這個問題後,Facebook已採取處理行動。Facebook發言人說,經徹底調查,並未發現該漏洞曾導致用戶隱私資訊被拿來與未經授權的第三方業者分享的證據,而且根據該公司和廣告商與開發商簽訂的合約義務,這些業者也不得以違反Facebook政策的方式,保留或分享使用者資訊。
公司發言人說,Facebook有強大的政策執行力與技術措施,能迅速發現並處理Facebook平台上的可疑行為。去年秋季華爾街日報調查發現,許多應用程式會與廣告業者分享可辨識的使用者資訊,Facebook隨即懲罰數家開發商。
但賽門鐵克警告,不論Facebook做了哪些修正措施,這些權限資料可能仍儲存在第三方業者電腦的檔案裡。竇希說,有疑慮的Facebook用戶不妨修改帳號,讓外洩的存取權限失效。
新聞來源:udn聯合新聞網
沒有留言:
張貼留言