Facebook 漏洞导致1400万用户新发布的内容可遭公开访问

聚焦源代码安全，网罗国内外最新资讯！

翻译：360代码卫士团队

Facebook产品中存在一个bug，可导致1400万用户创建的新帖子遭公开访问而非使用历史访问设置。

用户在 Facebook 上发帖时，用户能够通过使用下拉式目录选择“公开（任何人）”、“朋友”或“朋友及联系人”来指定能查看帖子的人员。这种下拉式目录被称作“受众选择器”并且会默认使用此前的设置。

CNN 报道称，在5月18日和22日期间，这个 bug 导致约1400万用户的默认分享设置被设置为“公开”。也就是说他们贴出的所有帖子都可被任何人读取而不管默认设置是什么。

Facebook 指出，“当我们构建分享用户资料特定项目如照片的新方法时发生错误。由于这些项目是公开的，因此我们不可避免地把所有新帖子而不仅仅是这些项目设置为公开。”

漏洞被检测到后，Facebook 公司的工程师用了5天的时间重新更改为用户此前的设置。Facebook 强调称这个 bug 并不影响人们此前发布的内容，而且用户仍然可以任意选择受众。

对于已受影响的用户而言，Facebook 会在发现用户通过 web 或移动 app 登录 Facebook时发出隐私通知。隐私通知会说明 Facebook“在5月18日至27日期间发现一个技术错误，当你创建新帖子时会自动把受众设置为公开可见。”

https://www.bleepingcomputer.com/news/security/facebook-bug-caused-new-posts-by-14-million-users-to-be-shared-publicly/