赛门铁克两名研究人员当地时间周二发表博文称,Facebook的一处编程错误使得广告客户能访问用户的档案、照片和聊天信息,甚至能利用用户的帐户发布消息,从用户的个人资料中挖掘有用的信息。
据赛门铁克称,信息泄露源于Facebook一个有缺陷的API(应用编程接口),造成“数十万款”Facebook应用泄露了所谓的访问令牌。与应用开发者有关联的任意第三方都可能获得访问令牌,获得访问令牌允许的权限。赛门铁克指出,尽管目前不知道多少广告客户知道可以访问用户的个人信息,但这种信息泄漏的潜在影响可能是“深远的”。
但Facebook认为这一问题并不严重,称赛门铁克的报告存在错误。Facebook发言人马罗丽·鲁西奇(Malorie Lucich)说,“我们对赛门铁克提出这一问题表示感谢,我们通过与它合作立即解决了这一问题。没有用户个人信息被泄露给第三方,绝大多数访问令牌的有效期为2小时。赛门铁克的报告还忽视了广告客户和应用开发者的义务,根据协议,他们不能以违反我们政策的方式获取或共享用户信息。”
Facebook发言人还表示,没有证据表明用户信息的使用违反了该公司的政策,“我们会认真对待可能存在的问题,已经迅速采取了措施,防止此类事件的再次发生”。
赛门铁克发言人今天表示,该公司仍然认为报告是准确的,但没有发表进一步的评论。赛门铁克安全响应部门主管凯文·哈利(Kevin Haley)说,尽管第三方可能没有注意到这一问题,但这并不意味着一定没有人注意并利用这一问题。
《华尔街日报》去年10月份报道称,《FarmVille》、《Texas HoldEm Poker》和《FrontierVille》等数款热门Facebook应用在秘密向广告客户发送用户信息。Facebook去年还因隐私政策遭到用户起诉。
电子前沿基金会技术主管克里斯·帕默尔(Chris Palmer)表示,“这次信息泄露事件并不让人感到惊奇,之前Facebook,以及其他网站和平台也发生过类似问题。尽管这次事件是个意外,但这在Facebook并非第一次。”
帕默尔说,向广告客户提供用户的详细信息是Facebook商业模式的一部分,“因此,我们预计这类事件可能再次发生。商业模式要求Facebook在让广告客户满意和不激怒过多用户之间保持一个微妙的平衡”。
民主数字中心执行主任杰弗里·切斯特(Jeffrey Chester)表示,Facebook在与越来越多的第三方合作,它们的业务就是收集用户信息,“因此用户信息泄露并不让人感到吃惊”。