Ci sarebbe un kit di sviluppo dannoso alla base della diffusione dei dati personali degli iscritti ai developer, che hanno avuto accesso a informazioni sensibili
Raramente c’è una settimana che passa senza che vengano esposti i dati degli utenti di Facebook, anche se questa volta il social network è in buona compagnia visto che nel calderone dell’ennesimo leak rientrano pure le informazioni degli iscritti a Twitter. Entrambe le società di social media hanno infatti rivelato che gli utilizzatori delle piattaforme potrebbero essere stati vittima di un problema che ha permesso agli sviluppatori di alcune app di Android di accedere ai contenuti personali, di norma resi inaccessibili.
A quanto pare, le due aziende sono state avvisate da un ricercatore di sicurezza circa l’esistenza di un kit di sviluppo software dannoso, chiamato One Audience, che ha consentito a terzi di accedere ai dati personali che comprendono nomi utente, indirizzi e tweet recenti. Come tale, questa non è una perdita di dati che ricade direttamente sulle spalle di Facebook o Twitter, con quest’ultima che ha notato come l’esposizione fosse dovuta ad una “mancanza di isolamento” tra l’SDK nelle applicazioni interessate.
Poco controllo post sviluppo
“Il nostro team di sicurezza ha stabilito che l’SDK dannoso, che potrebbe essere incorporato in un’applicazione mobile, ha potenzialmente sfruttato una vulnerabilità nell’ecosistema mobile, così da consentire l’accesso alle informazioni personali (e-mail, nome utente, ultimo tweet) degli iscritti. Sebbene non abbiamo prove che suggeriscano che questo sia stato usato per assumere il controllo di un account Twitter, è possibile che una persona possa farlo”. Facebook ha invece spiegato che One Audience, insieme a un altro SDK chiamato Mobilburn, ha pagato gli sviluppatori per inserire il software dannoso nelle loro app.
“Dopo aver indagato, abbiamo rimosso le app dalla nostra piattaforma per violazione delle policy e inviato avvisi per chiedere ai developer di chiudere i loro rapporti con Mobiburn. Abbiamo in programma di informare le persone le cui informazioni crediamo siano state probabilmente condivise dopo che hanno concesso a queste app l’autorizzazione al profilo e dunque a nome, e-mail e sesso”.
Per quanto riguarda i dati trapelati, ciò dipende dalle autorizzazioni concesse dalle app interessate dagli SDK dannosi. Dato che Facebook e Twitter sono stati sottoposti a un attento esame della raccolta e dell’utilizzo dei dati, ciò costituirà un altro colpo per la fiducia degli utenti verso i sistemi, anche se questa volta non sembrano essere responsabili.
