Facebook dice que accidentalmente permitió que alrededor de 5,000 desarrolladores accedan a los datos de los usuarios inactivos de su aplicación, a pesar de que ese acceso debería haberse cortado. La compañía explicó el miércoles que descubrió recientemente un problema que había permitido a los desarrolladores de aplicaciones continuar recibiendo esta información más allá de los 90 días de inactividad que tiene como objetivo cortar el acceso a los datos hasta que el usuario regrese a la aplicación y vuelva a autenticarse nuevamente.
En 2018, Facebook anunció un cambio en la forma en que los desarrolladores de aplicaciones podrían acceder a los datos de los usuarios de Facebook a raíz del escándalo de Cambridge Analytica, que vio comprometidos los datos personales de 87 millones de usuarios de Facebook. Entre las muchas restricciones nuevas a la plataforma API de Facebook, introdujo un proceso de revisión más estricto para el uso de Facebook Login para aplicaciones y dijo que bloquearía el acceso de las aplicaciones a los datos personales de los usuarios después de tres meses de inactividad.
Este último cambio es el que no se cumplió, en el caso de este último incidente de intercambio de datos.
El inicio de sesión de Facebook, a modo de antecedentes, ofrece a los desarrolladores de aplicaciones una forma de facilitar a los usuarios iniciar sesión en aplicaciones utilizando sus credenciales de inicio de sesión de Facebook. Pero también permite a los desarrolladores solicitar acceso a un subconjunto de los datos de esa persona en Facebook, incluidos elementos como correo electrónico, me gusta de los usuarios, sexo, ubicación, cumpleaños, rango de edad y más. No está claro entre las 5,000 aplicaciones cuántas acceden a qué detalles específicos del usuario. Facebook dice que las aplicaciones accedieron “por ejemplo, idioma o género”, pero el inicio de sesión de Facebook no se limita solo a esos dos atributos al solicitar datos del usuario.
Según el anuncio de Facebook, el problema no afectó a todas las aplicaciones que utilizan el inicio de sesión de Facebook, sino que solo ocurrió en ciertas circunstancias. Por ejemplo, decía que si alguien usaba una aplicación de acondicionamiento físico para invitar a amigos a un entrenamiento, Facebook no reconocía que algunos de esos amigos invitados habían estado inactivos durante muchos meses, es decir, más allá de la fecha límite de 90 días.
La estimación de 5,000 aplicaciones proviene de una revisión de los datos de los últimos meses. Facebook no dijo cuántos usuarios se vieron afectados. Para empezar, estos usuarios habían otorgado permisos a estas aplicaciones, para ser claros, pero esos permisos debían haber expirado.
Este nuevo problema no es el mismo que ocurrió durante el escándalo de Cambridge Analytica, cuando el usuario de una aplicación proporcionó acceso a todos los datos de usuario de su red de amigos, debido al uso dudoso de los permisos de acceso de la aplicación. Pero es otro ejemplo de cómo la red de amigos de Facebook hace que los datos se vean comprometidos a través de las asociaciones personales de alguien. En este caso, los datos del usuario se compartieron inadvertidamente con los desarrolladores debido a la conexión de un usuario con un amigo que usó una aplicación y también los invitó a probarla.
Facebook dijo que el problema se ha solucionado desde entonces y que continúa investigando.
En relación con esto, la compañía también introdujo nuevos Términos de plataforma y Políticas de desarrollador para impulsar más aspectos de minería de datos, legalmente hablando, en manos de los desarrolladores. Los términos ahora limitan la información que los desarrolladores pueden compartir con terceros sin el consentimiento explícito de los usuarios, fortalecen los requisitos de seguridad de datos y aclaran cuándo los desarrolladores deben eliminar los datos.
Por ejemplo, los términos ahora requieren que los desarrolladores eliminen datos que ya no son necesarios para un propósito comercial legítimo, si la aplicación se cierra, si Facebook les dice que lo hagan o si los datos se recibieron por error, según el anuncio.
Esas dos últimas estipulaciones son interesantes, ya que Facebook podría comunicarse con los desarrolladores en el futuro si nota otros problemas de acceso a los datos, como este último, e informar al desarrollador que han recibido datos de los usuarios por error. Los Términos de Facebook también permiten a Facebook auditar aplicaciones de terceros al solicitar acceso remoto o físico a los sistemas de los desarrolladores, de acuerdo con estos términos, para garantizar el cumplimiento de sus políticas. Facebook podría pedirle al desarrollador que elimine los datos que no cumplan, como lo requieren estos nuevos Términos.
Hasta qué punto el mundo en general sabría sobre cualquier problema posterior, Facebook tendría que revelarlo, como lo hace hoy en publicaciones de blog.
Las políticas de desarrollador fueron solo un área que recibió una actualización. Facebook también actualizó sus Términos comerciales, incluidos los Términos de herramientas comerciales, para cubrir también los datos relacionados con ciertos usos del SDK de Facebook, el inicio de sesión de Facebook y los complementos sociales. También está haciendo cambios a sus Términos Comerciales para aclarar los términos, dice.
Tomará tiempo analizar completamente qué lagunas está cerrando Facebook con una actualización integral de términos como este y cómo estos afectarán los datos del usuario y la transparencia sobre los problemas de acceso a datos posteriores.
Facebook dice que las nuevas políticas y términos entrarán en vigencia el 31 de agosto de 2020. Los desarrolladores no tienen que tomar ninguna medida para aceptar las actualizaciones.
Source link