Ten rok był wyjątkowo mało łaskawy dla Facebooka, ale problemy jeszcze się nie skończyły. Przedstawiciele portalu właśnie poinformowali użytkowników o kolejnej luce bezpieczeństwa, która została odkryta we wrześniu.
Błąd dotyczył uprawnień zewnętrznych aplikacji, które prosiły użytkowników o możliwość korzystania ze zdjęć na ich osi czasu. Właściciele kont logowali się do nich za pomocą danych z Facebooka. W wyniku buga deweloperzy otrzymali nieuprawniony dostęp nie tylko do fotek umieszczonych w tym miejscu, ale także Historii i obrazów, które użytkownicy wrzucili na Facebooka, ale z jakichś powodów nie skończyli publikować (tak, portal przechowuje na swoich serwerach również te rzeczy).
Facebook szacuje, że wyciekiem objęte zostało około 1 500 aplikacji od 876 różnych deweloperów i 6,8 miliona użytkowników. Osoby, których dotyczy problem, otrzymają stosowną notyfikację informującą o zaistniałej sytuacji. Portal obiecuje, że przekona aplikacje, aby usunęły swoje kopie nieudostępnionych zdjęć, ale jeśli znajdujemy się w grupie ryzyka, warto zalogować się do nich i sprawdzić, czy są tam fotki, których nie powinno być.
Luka bezpieczeństwa pojawiła się w systemie 12 września i została odkryta 25 września, prawie jednocześnie z innym wyciekiem związanym z opcją „wyświetl jako”. Ten drugi dotknął prawie 30 milionów kont, dlatego został potraktowany priorytetowo. Facebook zarzeka się, że przyczyną tak późnego poinformowania użytkowników o wycieku zdjęć była konieczność dokładnego zbadania sprawy i przygotowania wielojęzycznej dokumentacji, ale opieszałość w tej sprawie może wiązać się z problemami ze strony Unii Europejskiej, która dowiedziała się o fakcie dopiero 22 listopada. Zgodnie z ustaleniami RODO maksymalny czas pomiędzy odkryciem wycieku danych i poinformowaniu o nim użytkowników wynosi 72 godziny. W przypadku Facebooka trzy dni rozwlekły się do dwóch miesięcy. Na razie organy UE nie wydały stosownego oświadczenia w tej sprawie.
