Facebook et Twitter : des données personnelles compromises via des apps tierces

by

Facebook et Twitter préviennent que des données personnelles d'utilisateurs ont pu être compromises. Des SDK malveillants pour des applications tierces sont mis en cause.

Intégrés dans des applications Android, deux SDK (Software Development Kit) sont pointés du doigt par Facebook et Twitter pour avoir exposé des données personnelles d'utilisateurs après une connexion avec leurs comptes.

" Après enquête, nous avons supprimé les applications de notre plateforme pour une violation de notre politique et nous avons adressé des mises en demeure à oneAudience et MobiBurn ", a indiqué un porte-parole de Facebook.

Facebook précise avoir été alerté par des chercheurs en sécurité que ces deux éditeurs ont payé des développeurs pour utiliser un SDK malveillant dans des applications. Twitter ajoute de son côté avoir prévenu Apple et Google concernant un SDK malveillant géré par oneAudience afin de faire le ménage dans leurs boutiques d'applications.

Selon Twitter, les utilisateurs d'iOS n'ont toutefois pas été concernés par le problème. Twitter écarte en outre une quelconque vulnérabilité le touchant et évoque un manque d'isolation pour les SDK au sein d'une application.

Le cas échéant, les utilisateurs vont recevoir une notification. Facebook parle d'un accès à des informations de profil comme le nom, l'adresse email et le sexe. " Nous encourageons les utilisateurs à faire preuve de prudence quand ils choisissent les applications tierces pour lesquelles l'accès à leurs comptes de réseaux sociaux est autorisé. "

D'après Engadget, Fabook a prévu d'alerter 9,5 millions de personnes. CNBC donne l'exemple des applications de retouche photo Giant Square et Photofy qui pourraient avoir été affectées.

Dans une réaction, oneAudience assure que les données personnelles " n'ont jamais été destinées à être collectées, jamais ajoutées à notre base de données et jamais utilisées. " Des mesures auraient été prises avec une nouvelle version du SDK qui est par ailleurs retiré.

MobiBurn écrit pour sa part ne pas recueillir, partager ou monétiser des données de Facebook. " MobiBurn a cessé toutes ses activités jusqu'à ce que notre enquête sur les tiers soit finalisée. "