米Facebookは12月14日 (現地時間)、Photo APIのバグが見つかったことを公表した。バグの影響によって2018年9月13日から同年9月25日の間に、アクセス許可を与えたサードパーティのアプリがアクセス権のないユーザーの写真にもアクセスできる状態になっていた。
サードパーティのアプリに写真へのアクセスの許可を与えた場合、通常アクセス権はタイムラインの画像に限られるが、「マーケットプレイス」や「ストーリー」などで共有されている写真など、他の画像にもアクセスできる状態になっていた。ユーザーがFacebookにアップロードしたまま作業を中断して投稿していなかった画像を、Facebookは作業再開に備えて3日間保持するが、そうした未投稿の画像にもアクセスできる可能性があったという。
12日間に、876の開発者による最大約1,500アプリがバグのある状態のPhoto APIにアクセスできた。その影響は最大680万ユーザーに及ぶ。TechCrunchの取材に対して、Facebookは9月25日に不具合を発見したことを認めており、11月25日にOffice Of The Data Protection Commissionerに問題を報告したが、公表まで時間がかかった理由は不明だ。
Facebookはすでにバグを修正しており、影響を受けた可能性があるユーザーに対してはFacebookのアラートを通じて通知し、サポートページ「Facebook上の写真にかかわる不具合について」に案内している。同ページでは、バグの影響の有無、使用していたアプリでバグの影響を受けるものを確認できる。影響を受けるユーザーに対しては、Facebook上の写真を共有したことがあるアプリにログインし、そのアプリがどの写真にアクセスしたか確認するように呼びかけている。同社はまた、本来アクセスされるべきではなかった写真を削除するようアプリ開発者に要請しており、バグの影響を受ける可能性があるユーザーを特定できるようにするツールを数日中に開発者に提供する予定だ。
-
サポートページでバグの影響の有無を確認できる
ソーシャルサービスでは、Googleが10月に最大5,250万人のユーザーに影響する可能性のあるバグを公表したばかりだ。今回のFacebookと同様に、ユーザーの氏名やメールアドレスといった個人データが、非公開設定であってもサードパーティのアプリがアクセスできる状態になっていた。これまでのところサードパーティによるアクセスは確認されていないが、問題の深刻さからGoogleは一般向けGoogle+の打ち切りを決断、2019年4月に終了させる。
