大公网

大公报电子版
首页 > 新闻 > 国际 > 正文

Fb又出包680万用户图片外泄 延迟近两月才报告

2018-12-16 03:18:00大公报
字号
放大
标准
分享

综合路透社、美国《连线》杂志报道:美国科技巨头Facebook(Fb)又出现用户私隐外泄事件。Fb在14日坦承,在今年9月13日至25日,图片应用程序界面(photo API)出现漏洞,使超过1500个第三方应用程序可以获取用户未授权分享的照片,预计有680万用户受到影响,该漏洞在9月25日已被修复。目前,欧盟的私隐监管机构爱尔兰数据保护委员会(DPC)已展开调查。

Fb工程主管巴尔(Tomer Bar)在博客“Fb开发人员”上发文写道,若用户曾授权第三方应用程序访问Fb图片,在9月13日至9月25日期间,这些第三方软件可以通过漏洞,获取用户在Fb Stories、Marketplace上发布的图片,以及用户已上传却出于各种原因未能发布的图片,例如由于网络问题未能发布,或是改变心意终止发布,只要上传了图片就可能被第三方应用程序获得。

Fb预计,有680万用户和超过1500个第三方程序受到影响。巴尔表示,Fb会在下周给第三方程序的开发商提供工具,助其确定是否存取了用户未经授权的照片。Fb会与其协作,确保这些照片被删除。同时,Fb将给那些可能受影响的用户发送警告,提醒他们进入帮助中心检测自己是否私隐外泄。巴尔推荐任何允许第三方应用程序获取照片的用户都检查一下。

未在72小时内上报 Fb涉违规

据报道,Fb在9月25日发现了并修补了这个漏洞,但直到11月22日才告知爱尔兰数据保护委员会,直到12月14日才告知用户。而欧盟在今年5月通过的《通用数据保障条例》(GDPR)中规定,若发生用户私隐泄露事件,企业必须在72小时内报告有关部门,Fb却在近两个月后才报告,此举显然违规。

不过Fb声称,它需要时间调查这起事件是否违反了条例,最后在下定结论后的72小时内报告给数据保护委员会,至于延迟告知用户,是因为需要先与众多程序开发商沟通,并想出解决措施。

事实上,《通用数据保障条例》所规定的72小时,也并不是那么死板。假如违规行为“不太可能对用户权利和自由造成影响”,企业就可以获得更长时间。专攻私隐法的律师表示,若黑客盗取了用户银行帐号或未加密的密码,那肯定需要立即报告,但通过图片应用程序界面漏洞导致的图片外泄,就处于比较模糊的领域。

丑闻不断 或难恢复声誉

显然,Fb很清楚怎样利用这项规定。9月28日,Fb就公开承认在9月25日遭到黑客攻击,5000万用户(这一数字在调查后下降至2800万)被迫登出,邮箱、电话等基本资料外泄。虽然遭遇黑客攻击和发现漏洞是同一天,但Fb显然优先处理前一个更为重要的问题。

不过最终违规与否,还是需要爱尔兰数据保护委员会定夺。该委员会传讯部门负责人多伊尔(Graham Doyle)14日表示,自五月来已收到好几次Fb违反条例的报告,将“从本周起进行法定调查”。Fb一旦被裁定违法,可能面临最高可达企业全球年营收的4%的天价罚款。若以Fb在2017年352亿欧元收入计算,该公司最高被罚14亿欧元(约123.7亿港元)。

有分析人士认为,Fb从今年3月的“数据门”丑闻以来,名誉一路狂跌,若还故意利用法律漏洞延期上报,可能破坏Fb向用户及监管单位确保加强保护用户私隐的可信度。

相关内容

点击排行