Nuovo giorno, nuovo problema riguardo i dati degli utenti di Facebook e Twitter. Entrami i social network hanno annunciato che sono stati esposti i dati di centinaia di utenti, dopo che questi hanno utilizzato le credenziali dei loro account per accedere ad alcune app Android di terze parti scaricate da Google Play. Questa volta però le responsabilità non sarebbero da attribuire a Facebook o Twitter, ma a un SDK, cioè un kit di sviluppo software chiamato One Audience, che in realtà forniva agli sviluppatori l’accesso ai dati personali.
Gli utenti hanno fornito quindi agli sviluppatori i propri dati in maniera del tutto inconsapevole. Sia Facebook che Twitter hanno comunque annunciato di aver eliminato il problema. Ecco cosa si legge nella comunicazione di Twitter in merito:
Il problema non è dovuto ad una vulnerabilità del software di Twitter, ma dal mancato isolamento tra gli SDK all’interno di un’applicazione. Il nostro team di sicurezza ha determinato che l’SDK dannoso, che potrebbe essere embeddato all’interno di un’app mobile, potrebbe potenzialmente sfruttare una vulnerabilità nell’ecosistema mobile per consentire l’accesso alle informazioni personali (e-mail, nome utente, ultimo tweet) e utilizzare l’SDK dannoso. Anche se non abbiamo prove che suggeriscano che la falla sia stata usata per prendere il controllo di un account Twitter, è possibile che una persona possa farlo.
In particolare gli esperti hanno scoperto che sia gli SDK di OneAudience che di Mobiburn hanno consentito l’accesso ai dati. Gli utenti che hanno utilizzato i due social per accedere ad app come Giant Square e Photofy potrebbero aver esposto il proprio indirizzo email, il nome utente e tweet più recenti. Facebook ha detto che queste app sono state rimosse dalla piattaforma e le due aziende stanno informando gli utenti coinvolti.