Facebook et Twitter : des données personnelles compromises via des apps tierces

Le par  |  4 commentaire(s)
facebook-reaction-colere

Facebook et Twitter préviennent que des données personnelles d'utilisateurs ont pu être compromises. Des SDK malveillants pour des applications tierces sont mis en cause.

Intégrés dans des applications Android, deux SDK (Software Development Kit) sont pointés du doigt par Facebook et Twitter pour avoir exposé des données personnelles d'utilisateurs après une connexion avec leurs comptes.

" Après enquête, nous avons supprimé les applications de notre plateforme pour une violation de notre politique et nous avons adressé des mises en demeure à oneAudience et MobiBurn ", a indiqué un porte-parole de Facebook.

Facebook précise avoir été alerté par des chercheurs en sécurité que ces deux éditeurs ont payé des développeurs pour utiliser un SDK malveillant dans des applications. Twitter ajoute de son côté avoir prévenu Apple et Google concernant un SDK malveillant géré par oneAudience afin de faire le ménage dans leurs boutiques d'applications.

Selon Twitter, les utilisateurs d'iOS n'ont toutefois pas été concernés par le problème. Twitter écarte en outre une quelconque vulnérabilité le touchant et évoque un manque d'isolation pour les SDK au sein d'une application.

Le cas échéant, les utilisateurs vont recevoir une notification. Facebook parle d'un accès à des informations de profil comme le nom, l'adresse email et le sexe. " Nous encourageons les utilisateurs à faire preuve de prudence quand ils choisissent les applications tierces pour lesquelles l'accès à leurs comptes de réseaux sociaux est autorisé. "

D'après Engadget, Fabook a prévu d'alerter 9,5 millions de personnes. CNBC donne l'exemple des applications de retouche photo Giant Square et Photofy qui pourraient avoir été affectées.

Dans une réaction, oneAudience assure que les données personnelles " n'ont jamais été destinées à être collectées, jamais ajoutées à notre base de données et jamais utilisées. " Des mesures auraient été prises avec une nouvelle version du SDK qui est par ailleurs retiré.

MobiBurn écrit pour sa part ne pas recueillir, partager ou monétiser des données de Facebook. " MobiBurn a cessé toutes ses activités jusqu'à ce que notre enquête sur les tiers soit finalisée. "

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2084738
Houlala, faut vite que je prévienne tous mes "amis" faceboukiens et twitteriens que mon email, mon nom et (la taille de) mon sexe sont compromis

Mais comme disait Coluche : Compromis, chose due !
Le #2084743
Ils s'attendaient à quoi en ce logant avec leur identifiant fessebouc ?
Le #2084766
Et on en parle des requêtes qui partent de mon Huawei P10 vers "graph.facebook.com" depuis des applis qui n'ont rien à voir avec Facebook et n'ont même pas de fonction de partage ou autre en lien ?

Du genre le lecteur vidéo Huawei, le lecteur musique Huawei, et beaucoup d'autres applis non-Facebook et pas forcément Huawei.
Sachant que je n'ai pas Facebook et que les 2 processus "natifs" Facebook sont désactivés sur mon téléphone.

Je ne commprends même pas que la CNIL ne gueule pas après ce genre de pratique, qui devrait être purement interdit, ou au moins désactivable.
Et Facebook qui sort que c'est une mauvaise utilisation des outils par les développeurs, ou mauvaise implémentation des développeerus... ça les arrangent bien que des données arrivent sur leur "graph.facebook.com" en attendant.

NB : j'ai pu constater ça grâce à l'appli "Blokada", qui merci bloque ces requêtes, et via "Lumens", qui permet de scruter toutes les fuites d'une appli (y compris quand l'IMEI ou toute autre info tente de fuiter).
Le #2084819
Facebook fourni un SDK aux développeurs feignants. Forcément il y a une contrepartie. Le problème c'est qu'on ne le sait pas.
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme