Всплыл новый баг в системе безопасности Facebook. Оказывается, он существовал уже несколько лет, но найден был только тогда, когда затронул 6 миллионов пользователей.
Сотрудники FB в своем блоге признали существование вредоносной ошибки. Нашли ее благодаря независимым аналитикам, участвующим в программе White Hat. Согласно их отчету, адреса email и телефонные номера пользователей могли просматриваться людьми, которые обладали хоть какой-то информацией о человеке или состояли с ним в какой-либо связи (даже крайне отдаленной).
Согласно заявлению компании, баг был вызван несовершенством алгоритма поиска друзей.
“Описание того, что вызвало баг, будет слишком заумным в техническом смысле, но мы все же хотим объяснить, что случилось. Когда люди подгружают в FB списки контактов или адресов, мы стараемся сопоставить эту информацию с контактными данными других пользователей, чтобы сформировать рекомендации по добавлению в друзья. Например, мы не хотим, чтобы пользователю предлагалось пригласить в Facebook тех, кто уже в нем зарегестрирован.
Из-за бага информация, которая использовалась для составления рекомендаций по поиску друзей и рассылки приглашений, становилась частью аккаунта на FB. В результате, если пользователь собирался загрузить архив собственного аккаунта через Download Your Information (DYI), то в этот архив входили адреса email и телефонные номера тех людей, которые находятся с ним в какой-либо связи.
Реагируя на ситуацию, мы отключили DYI и вернем данный инструмент как только пофиксим баг”.
Компания уже начала рассылать мейлы с извинениями, однако на данный момент нет свидетельств, что данная ошибка использовалась кем-то злонамеренно. Основным защитным аргументом соц. сети является то, что вытянуть из FB мейл или номер телефона пользователя могли в основном те люди, кто и так обладает этой информацией.
“Ваше доверие – это самый главный актив, что мы имеем. Мы ведем работы по усовершенствованию наших систем безопасности для того, чтобы ваша информация находилась в целости и сохранности” – уверяют сотрудники Facebook.