Facebook ออกมาประกาศบั๊กของระบบ ที่สร้างผลกระทบให้ผู้ใช้สามารถดูข้อมูลที่อยู่ติดต่อ (เบอร์โทรศัพท์และอีเมล) ของผู้ใช้คนอื่นๆ ที่มีเพื่อนคนเดียวกันได้

บั๊กนี้เกิดจากระบบ friend recommendation ของ Facebook ที่จะอ่านข้อมูลจากสมุดที่อยู่ของเราเพื่อเช็คว่าตรงกับผู้ใช้คนใดในระบบบ้าง (สมมติว่าเป็นผู้ใช้ A) ในกรณีที่มีคนอัพโหลดข้อมูลจากสมุดที่อยู่ขึ้นไปพร้อมกันหลายคน (เช่น ผู้ใช้ B และผู้ใช้ C ที่เป็นเพื่อนของ A ทั้งคู่ แต่อาจไม่รู้จักกันเอง) Facebook จะรวมเอาข้อมูลของ A ที่มาจาก B และ C ไว้ด้วยกันบนเซิร์ฟเวอร์ของตัวเอง (ซึ่ง B อาจไม่มีข้อมูลบางอย่างของ A แต่ C มีข้อมูลนั้น) โดยมีแค่ Facebook เท่านั้นที่เห็นข้อมูลทั้งหมด

ปัญหาจะเกิดเมื่อ B หรือ C ใช้เครื่องมือดาวน์โหลดข้อมูลบัญชี Facebook ที่ชื่อ Download Your Information (DYI) โหลดข้อมูลกลับมาเก็บไว้บนเครื่องตัวเอง บั๊กที่เกิดขึ้นทำให้ B ได้ข้อมูลทั้งหมดของ A กลับไปด้วย (มีข้อมูลของ A ที่มาจาก C กลับมาด้วย) ทำให้ B อาจเข้าถึงข้อมูลบางอย่างของ A ที่ไม่ได้รับอนุญาตให้เข้าถึงมาก่อน

Facebook บอกว่าได้รับแจ้งบั๊กนี้จากแฮ็กเกอร์สายขาว (white hat) และอุดช่องโหว่เรียบร้อย แต่ก็ยอมรับว่าบั๊กที่เกิดขึ้นกระทบกับผู้ใช้ประมาณ 6 ล้านบัญชีที่ข้อมูลอีเมลหรือเบอร์โทรศัพท์ถูกแชร์ออกไปโดยไม่รู้ตัว อย่างไรก็ตาม Facebook ยืนยันว่าไม่มีข้อมูลส่วนตัวประเภทอื่นๆ เช่น บัตรเครดิต ถูกแชร์ออกไปด้วย

Facebook ยืนยันว่าผู้ที่ได้ข้อมูลหลุดเหล่านี้ไปคือ "เพื่อนของเพื่อน" ที่อาจดาวน์โหลดข้อมูลเฉลี่ยคนละ 1-2 ครั้ง และยังไม่มีหลักฐานใดๆ ชี้ว่ามีแฮ็กเกอร์ประสงค์ร้ายใช้ช่องโหว่นี้แกะเอาข้อมูลส่วนตัวของผู้ใช้ออกไป

ผู้ใช้ที่ได้รับผลกระทบจากบั๊กนี้จะได้รับแจ้งจาก Facebook ทางอีเมล ถ้าใครไม่ได้รับเมลที่เกี่ยวข้องกับบั๊กนี้ก็ถือว่าปลอดภัยครับ

ที่มา - Facebook Security