שוב פרצת פרטיות בפייסבוק: שיתפה תמונות של מיליוני משתמשים לאפליקציות ללא אישור
באג במנגנון אחסון התמונות של הרשת החברתית הביא לשיתוף תמונות של משתמשים ללא אישורם. על פי ההערכות, הפרצה פגעה בכ-5.6 מיליון משתמשים. למרות שהבאג התגלה בספטמבר, החברה דיווחה עליו רק כעת – מה שעלול לסבך אותה עם האיחוד האירופי ולגרור קנסות כבדים
פייסבוק לא מפספסת הזדמנות להסתבך בשערוריות פרטיות כך נראה. היום (ו') חשפה החברה ששוב נחשף מידע משתמשים ללא אישור למפתחי אפליקציות צד שלישי. על פי מה שידוע, באג במנגנון אחסון התמונות שלה הביא לשיתוף של תמונות משתמשים ללא אישורם.
- פרצוף חמוץ: מה עובר על פייסבוק?
- הצרות בצמרת פייסבוק: האם צוקרברג מחפש לו מנטור חדש?
- 2018 בסייבר: פריצות ענק, כשלים באבטחת מובייל וקללת הקריפטו
הבעיה זוהתה ב-API של התמונות, רכיב תוכנה שמאפשר לחבר את המאגר התמונות של כל משתמש עם שירות חיצוני. הרכיב עצמו הכרחי במידה והמשתמש רוצה לשתף את התמונה עם אפליקציה חיצונית כדי לערוך אותה או להוסיף לה פילטר למשל. אך הבאג לא חשף רק תמונות שהמשתמשים אישרו לשיתוף - אלא את כל התמונות הזמינות בחשבון שלהם כולל כאלה שלא ניתן אישור לשתף אותן באופן ציבורי או עם אפליקציות חיצוניות.
פייסבוק טוענת שהבאג פעל במשך כ-12 ימים, בין ה-13 בספטמבר עד ה-25 בספטמבר. על פי הערכות אנשי הרשת החברתית, הפרצה פגעה בכ-5.6 מיליון משתמשים, אם כי לא פירטה אם אלה היו מאזור גיאוגרפי מסוים. למרות שחלפו יותר מחודשיים מאז זיהוי הפרצה החברה חשפה אותה רק כעת, כי לדבריה היתה זקוקה לזמן מספיק כדי לזהות את הבעיות שנוצרו ומספר המשתמשים שנפגעו. בנוסף היא טענה שנדרש לה זמן כדי לכתוב ולתרגם את הודעת האזהרה ששלחה למשתמשים שנפגעו ממנה.
העיכוב הניכר של פייסבוק ביידוע המשתמשים עשוי להעמיד אותה בפני חוקרי האיחוד האירופי עקב אי-עמידה בתקנות הפרטיות של האיחוד, ה-GDPR, שקובעות שהיה עליה לחשוף את הבעיה לא יאוחר מ-72 שעות לאחר זיהויה. הקנסות על הפרת התקנות יכולות להגיע לכ-20 מיליון יורו או עד 4% מהיקף ההכנסות הגלובלי של פייסבוק שבמקרה שלה מסתכם במיליארדי דולרים.
תגובתה של פייסבוק לגילוי היה "אנו מצטערים" רפה, כמו גם אספקה של כלי זיהוי למפתחים שיסייעו להם למחוק את התמונות שלא היו אמורות להיחשף אליהם. בנוסף פייסבוק הודיעה שתסייע למשתמשים לקבל הכוונה ותשובות ממרכז מידע כדי להבין האם השתמשו באפליקציה שהיתה יכולה לקבל גישה לא מורשית לתמונות שלהם.
שרשרת של שערוריות
הפרשיה החדשה הזו היא מסמר נוסף בטענות שפייסבוק מסוגלת לפקח על עצמה ולדאוג לפרטיות המשתמשים. מספר הפרות הפרטיות שנובעות מ"באגים" כפי שהיא מכנה אותן מגיע למספרים שקשה לקבל מבלי לתהות על רצינותה. כך למשל במאי היה באג ששינה את הגדרות הפרטיות של פוסטים מפרטי לציבורי ללא בקשה של המשתמשים; באוקטובר נחשף באג שמחק סרטוני לייב של משתמשים; בנובמבר נחשף באג שאיפשר לאתרים חיצוניים לקבל גישה ללייקים של המשתמשים.
כל אלה וגם פרשת קיימברידג' אנליטיקה שבמסגרתה נחשפו עשרות מיליוני משתמשים לחברות כריית מידע חיצוניות ללא רשות, או את הפרצה שחשפה כ-30 מיליון משתמשים להאקרים בספטמבר. חשוב לציין שהבאג הנוכחי נחשף כמעט במקביל לפרסום פרשת גניבת המידע בידי ההאקרים, וצריך לתהות האם החלטתה של פייסבוק להימנע מהחשיפה בזמן אמת נבע מרצון לצמצם את היקף הביקורת שהיתה סופגת אם היתה צריכה להודות גם בפרצה הנוכחית במקביל.
מארק צוקרברג התחייב בפני הקונגרס לפני מספר חודשים שפייסבוק אחראית לשמור על מידע משתמשיה ושאם לא תצליח אז "לא מגיעה לה הזכות לשרת אותנו". אין מנוס מלשאול את עצמנו עם חשיפת השערורייה התורנית, מה מגיע לפייסבוק בשלב הזה. התנהלותה הבעייתית של החברה הצליחה להרגיז לא רק את הרגולטורים והמשתמשים, אלא אפילו את עובדיה ובכיריה שלא הפסיקו לנטוש את הספינה של צוקרברג וסנדברג תוך שהם חושפים עוד ועוד התנהגויות בעייתיות בלשון המעטה. אולי הגיע הזמן עבור פייסבוק למצוא לעצמה מנהיגים חדשים, שכן אם לא, יש סיכוי גדול שהיא לא תשרוד עוד שערוריות מעין אלה שככל הנראה ימשיכו להתגלות.