脸书说,尽管它应该被切断,但它意外地允许大约5000名开发人员从其应用程序的非活动用户那里访问数据。该公司周三解释说,它最近发现了一个问题,该问题使应用程序开发人员能够在90天不活动后继续接收这些信息,其目的是切断数据访问,直到用户返回应用程序并再次进行身份验证。
2018年,剑桥分析丑闻曝光后,脸书宣布改变应用开发者访问脸书用户数据的方式,导致8700万脸书用户的个人数据被泄露。在脸书API平台的诸多新限制中,它对使用脸书登录的应用程序引入了更严格的审查程序,并表示将防止应用程序在三个月未使用后访问用户的个人数据。
在最新的数据共享事件中,后一项更改是不合规的更改。
作为背景,脸书登录为应用程序开发人员提供了一种方法,使用户更容易使用他们的脸书登录凭据登录应用程序。但它也允许开发者请求访问该人在脸书的数据子集,包括电子邮件、用户偏好、性别、位置、生日、年龄组等等。在5,000个应用程序中,不清楚有多少访问了哪些特定的用户详细信息。脸书表示,应用程序访问了“如语言或性别”,但在请求用户数据时,脸书登录并不限于这两个属性。
根据脸书的声明,这个问题不会影响所有使用脸书登录的应用程序,只会在某些情况下发生。例如,它说如果有人使用健身应用邀请朋友锻炼,脸书不会意识到一些被邀请的朋友已经很久没有活动了——这意味着截止日期是90天。
据估计,有5000份申请来自对过去几个月数据的审查。脸书没有透露有多少用户受到影响。显然,这些用户已经向这些应用程序授予了权限,但是这些权限应该已经过期。
这个新问题不同于剑桥分析丑闻期间发生的问题,当时该应用程序的用户因访问权限使用不当而向其所有朋友的网络用户数据提供了访问权限。但这是脸书的朋友网络如何通过个人联系导致数据破坏的另一个例子。在这种情况下,用户与使用应用程序的朋友联系,并邀请他们一起尝试,这导致了无意中与开发人员共享用户数据。
脸书表示,这个问题已经解决,并将继续调查。
与此相关的是,公司还推出了新的平台条款和开发者政策,从法律上讲,将数据挖掘的更多方面推到了开发者手中。现在,这些条款限制了开发者无需用户明确同意即可与第三方共享的信息,强化了数据安全要求,明确了开发者必须删除数据的时间。
例如,这些条款现在要求开发人员删除合法业务不再需要的数据。如果申请被关闭,如果脸书告诉他们,或者如果收到错误的数据,它将被宣布为声明。
最后两条规则很有意思,因为如果脸书注意到其他数据访问问题(比如最新消息),它可以在未来联系开发者,告知他们收到了错误的用户数据。根据这些条款,脸书的条款还允许脸书通过请求远程或物理访问开发人员系统来审核第三方应用程序,以确保符合其政策。然后,脸书可以根据这些新条款要求开发商删除不符合要求的数据。
就像今天的博文一样,未来更广阔的世界会在多大程度上知道任何问题?
开发人员策略只是一个更新的字段。脸书还更新了其业务术语(包括其业务工具术语),以涵盖与脸书SDK、脸书登录名和社交插件的某些使用相关的数据。该公司表示,它还在改变其商业条款,以使条款更加清晰。
全面更新“脸书”一词需要时间,以全面分析脸书正在消除的漏洞,以及这些漏洞将如何影响用户数据的透明度和后续的数据访问问题。
脸书表示,新政策和条款将于2020年8月31日生效。开发人员无需采取任何行动即可同意更新。
标签: