Facebook et Twitter annoncent aujourd’hui que les données de plusieurs centaines d’utilisateurs ont pu être consultées et récupérées par des développeurs. La fuite ne vient pas des réseaux sociaux directement, mais d’un SDK (kit de développement) géré par oneAudience.
« Nous avons constaté que ce SDK a été utilisé pour accéder aux données personnelles de certains titulaires de comptes Twitter utilisant Android. Cependant, rien ne montre que la version iOS de ce SDK malveillant ait ciblé les utilisateurs de Twitter pour iOS », indique Twitter. Le réseau social continue :
« Ce problème n’est pas dû à une vulnérabilité du logiciel Twitter, mais au fait que les SDK ne sont pas suffisamment isolés au sein d’une application. Notre équipe chargée de la sécurité a déterminé que le SDK malveillant, qui pouvait être intégré dans une application mobile, était susceptible d’exploiter une vulnérabilité de l’écosystème mobile pour permettre l’accès à des informations personnelles (adresse email, nom d’utilisateur, dernier Tweet). Bien que nous n’ayons aucune preuve suggérant que le SDK ait été utilisé pour prendre le contrôle d’un compte Twitter, il est possible qu’une personne puisse le faire ».
Les utilisateurs avec un smartphone Android qui utilisent Twitter et qui pourraient être concernés par le problème vont être prévenus prochainement.
De son côté, Facebook déclare :
« Après enquête, nous avons retiré les applications de notre plateforme pour violation des politiques et avons émis des lettres de cessation et d’abstention contre oneAudience et Mobiburn. Nous avons l’intention d’informer les personnes dont nous pensons que les informations ont probablement été partagées après qu’elles aient accordé à ces applications la permission d’accéder aux informations de leur profil comme leur nom, leur adresse e-mail et leur sexe. Nous encourageons les gens à être prudents lorsqu’ils choisissent quelles applications tierces ont accès à leurs comptes de médias sociaux ».
