脸书今天宣布了另一起影响数百万客户的安全事件。这次，该公司表示，其中一个API漏洞暴露了近680万用户的私人照片。

脸书的这一新漏洞归因于其后端代码中的照片应用编程接口错误，该错误存在于2018年9月13日至9月25日之间。

据该公司称，在此期间，该漏洞允许脸书第三方应用程序访问超过用户的公开照片。脸书开发商Tomer Bar对Photo API的漏洞做了如下解释：

当有人允许应用程序访问他们在脸书的照片时，我们通常只允许应用程序访问他们在时间线上共享的照片。在这种情况下，该漏洞可能允许开发人员访问其他照片，例如在市场或脸书故事上共享的照片。这个错误也会影响人们上传到脸书但选择不发布的照片。例如，如果有人上传了一张照片到脸书，但没有完成发布-可能是因为他们失去了接收或走进了会议-我们存储了一份照片的副本，这样当他们返回应用程序时，这个人就可以完成他们的工作。

根据Bar，脸书的调查显示，由876个开发人员构建的1500个应用程序可能能够访问多达680万用户的私人照片。

目前还不清楚这些应用程序是否滥用了这个错误来实际访问和下载用户的私人和未发布的照片。

脸书表示，将开始通知受影响的用户。这些用户包括安装了1500个应用程序中的任何一个，并授予应用程序访问其照片的权限的用户。上面显示的通知将列出用户已经安装的应用程序，允许用户根据需要卸载它们。用户还可以访问专门的网页，了解自己是否受到影响。

今年早些时候，脸书宣布，一名未知威胁行为人使用了三种错误的组合，从5000多万用户那里下载了个人数据，这些数据后来被降级为3000万。

脸书也是第三家宣布其API存在重大错误的主要科技公司。推特在9月份宣布了类似的API问题，谷歌宣布了两个API问题，一个在10月份(50万用户受到影响)，另一个在12月份(5250万用户受到影响)。