臉書資安漏洞爆不完！相片應用程式出包，680萬用戶私人照片外洩

社群網站龍頭「臉書」今年連爆資安危機，繼4月科技公司「劍橋分析」竊取臉書高達8700萬用戶個資曝光後，臉書14日發文承認，其圖片應用程式介面爆發安全漏洞，高達680萬用戶未發布的照片，可能已獲第三方應用程式存取，臉書表示會盡快通知受影響的用戶，並協調第三方應用程式刪除外洩的照片。

相片外洩影響680萬用戶、1500個應用程式

臉書（Facebook）工程主任巴爾（Tomer Bar）14日在「臉書開發者」（Facebook for Developers）網誌上指出，今年9月13日至9月25日，臉書相片應用程式介面（Photos API）發生漏洞，第三方應用程式（third-party apps）能夠在此期間存取用戶分享在臉書拍賣市集（Marketplace）、限時動態（Stories）的照片，甚至用戶上傳到臉書，但未公開發布的照片也能存取。

巴爾解釋，臉書通常只會讓第三方應用程式，存取用戶在動態時報（Timeline）的相片，這項資安漏洞只有臉書授權能存取用戶相片的應用程式，以及授權應用程式存取相片的用戶會受到影響。目前臉書估計，這項漏洞可能影響680萬臉書用戶，以及由876個應用程式開發者所製作，多達1500個應用程式。

臉書將通知受影響用戶 協助APP開發者刪照片

至於這些應用程式為何能存取用戶未公開發布的相片？巴爾指出，如果用戶上傳相片到臉書，但因故未發布出去，臉書會為用戶保存相片副本3天，確保用戶能夠回到臉書完成其貼文。

「我們很抱歉發生這件事」，巴爾說，下周起臉書將會為應用程式開發者推出工具，以確認哪些應用程式的用戶受漏洞影響。臉書也會與應用程式開發者合作，刪除受影響用戶的照片。

巴爾也承諾，會向可能受漏洞影響的用戶發送通知，這個通知會將用戶指引到幫助中心（Help Center）的連結，確認用戶是否受到漏洞影響，臉書也建議用戶登入那些具分享相片權限的應用程式，確認它們存取哪些相片。

臉書爆發680萬用戶照片未經允許即外洩的漏洞，臉書呼籲受影響用戶進入幫助中心（Help Center）檢視受影響的情況。（Facebook for Developer）

發現漏洞2個月後才通報 臉書恐遭重罰

負責監督臉書是否遵守歐盟規範的「愛爾蘭資料保護委員會」（Irish Data Protection Commission，IDPC）14日也證實，IDPC本周已展開法定調查，確認臉書是否遵守歐盟5月正式施行的《通用資料保護規則》（General Data Protection Regulation，GDPR）。

GDPR堪稱全球最嚴的個資法，該法規定，企業一旦有資料外洩，必須在發現後於72小時內通知有關主管機關。若根據這次臉書的資安事件，臉書在9月25日了解並修補這些漏洞，但直到11月22日，臉書才通報主管機關，有可能已違反GDPR，最高可能處以2000萬歐元（新台幣7.1億元），或是全球4%年營收的罰鍰。

對於外界質疑，臉書為何不在漏洞發現時就通報，臉書發言人則發聲明指出，當9月25日發現漏洞後，臉書開始調查受影響的應用程式與用戶，並撰寫及翻譯通知使用者的訊息，「當我們一得知這是GDPR定義之中需要報告的資料外洩，就立即向IDPC報告。一旦我們這樣做了之後，我們在72小時之內告知監管機構。」

臉書今年資安漏洞頻傳

全球擁有22億用戶的臉書，資安頻頻出包。4月爆發科技公司「劍橋分析」（Cambridge Analytica）竊取高達8700萬用戶個資的醜聞，迫使臉書創辦人、執行長祖克柏（Mark Zuckerberg）出席美國聯邦參議院、眾議院聽證會。6月臉書也承認，5月18日至5月27日爆發系統漏洞，將用戶隱私貼文、相片設定自動改為公開，影響1400萬用戶。

2018年5月22日，臉書執行長祖克柏出席歐洲議會聽證會，場外出現抗議立牌。（AP）

9月臉書更爆發3000萬用戶的個資遭駭客掌握的醜聞，當時臉書產品管理部門副總裁羅森（Guy Rosen）指出，駭客運用程式碼問題，利用「特定用戶檢視角度」（View As）功能，竊取用戶的存取權杖（Access tokens），藉此存取個資。

臉書屢次陷入資安風暴，信譽大減，不過數位行銷與諮詢公司「Nineteen Insights」分析師艾略特（Nate Elliott）認為，只要臉書能維持現有的用戶人數，廣告商不太可能大量縮減在臉書的廣告支出。艾略特說：「即使人們不信任臉書，只要這項服務的價值比侵害隱私的損失還來得高，這可能是多數人願意達成的交易。」（推薦閱讀：防範期中選舉「假新聞」滿天飛：臉書封鎖投票錯誤資訊，降低不實內容觸及率）

相關報導
● 假消息氾濫，臉書真想防堵嗎？事實查核者向《衛報》爆料：他們根本不在乎
● 在祖克柏眼裡，用戶個資只值3塊錢？英國國會公布文件，揭露臉書高層決策秘辛