O Facebook divulga um novo data breach que expõe dados dos utilizadores membros de grupos da plataforma.

O Facebook divulgou outro incidente de segurança. A empresa revelou que aproximadamente 100 programadores de aplicações podem ter acedido indevidamente aos dados dos utilizadores de determinados grupos do Facebook.

A empresa explicou que, antes de abril de 2018, os administradores do grupo podiam autorizar uma app para um grupo, o que implica que seus programadores concedem acesso às informações do grupo.

Após as alterações implementadas na API do Groups após abril de 2018 em resposta ao escandalo de privacidade da Cambridge Analytica, se um administrador autorizasse uma app para o grupo, ele obteria apenas informações, como o nome do grupo, o número de utilizadores e o conteúdo das pubicações.

O Facebook apontou que, para aceder informações adicionais, como nome e foto do perfil, os membros do grupo precisavam aceitar.

Como parte de uma análise contínua, os especialistas do Facebook descobriram que algumas apps mantinham acesso às informações dos membros do grupo, incluindo nomes e fotos de perfil via a API do Groups por mais tempo do que ele pretendiam inicialmente.

“Today we are also reaching out to roughly 100 partners who may have accessed this information since we announced restrictions to the Groups API, although it’s likely that the number that actually did is smaller and decreased over time.” reads the blog post published by Facebook. “We know at least 11 partners accessed group members’ information in the last 60 days.”

 

Oa apps envolvidas no incidente mais recente eram principalmente apps de gestão de media social e streaming de vídeo, que permitem que os membros dos grupos partilhem os seus vídeos com outros membros do grupo.

No momento, não está claro quantos utilizadores foram afetados pelo incidente.

O Facebook confirmou que não tem conhecimento de nenhum abuso dos dados dos membros do grupo e que finalmente bloqueou o acesso não autorizado aos dados.

“Although we’ve seen no evidence of abuse, we will ask them to delete any member data they may have retained and we will conduct audits to confirm that it has been deleted.” continues the post.