Facebook et Twitter : des données personnelles compromises via des apps tierces
Facebook et Twitter préviennent que des données personnelles d'utilisateurs ont pu être compromises. Des SDK malveillants pour des applications tierces sont mis en cause.
Intégrés dans des applications Android, deux SDK (Software Development Kit) sont pointés du doigt par Facebook et Twitter pour avoir exposé des données personnelles d'utilisateurs après une connexion avec leurs comptes.
" Après enquête, nous avons supprimé les applications de notre plateforme pour une violation de notre politique et nous avons adressé des mises en demeure à oneAudience et MobiBurn ", a indiqué un porte-parole de Facebook.
Facebook précise avoir été alerté par des chercheurs en sécurité que ces deux éditeurs ont payé des développeurs pour utiliser un SDK malveillant dans des applications. Twitter ajoute de son côté avoir prévenu Apple et Google concernant un SDK malveillant géré par oneAudience afin de faire le ménage dans leurs boutiques d'applications.
Selon Twitter, les utilisateurs d'iOS n'ont toutefois pas été concernés par le problème. Twitter écarte en outre une quelconque vulnérabilité le touchant et évoque un manque d'isolation pour les SDK au sein d'une application.
We recently received a report of a malicious software development kit available through third-party app stores that may have put some people who use Twitter for Android at risk. To keep your account safe, we would encourage you to read this post: https://t.co/zU0tYsGuZ2
— Twitter Support (@TwitterSupport) 25 novembre 2019
Le cas échéant, les utilisateurs vont recevoir une notification. Facebook parle d'un accès à des informations de profil comme le nom, l'adresse email et le sexe. " Nous encourageons les utilisateurs à faire preuve de prudence quand ils choisissent les applications tierces pour lesquelles l'accès à leurs comptes de réseaux sociaux est autorisé. "
D'après Engadget, Fabook a prévu d'alerter 9,5 millions de personnes. CNBC donne l'exemple des applications de retouche photo Giant Square et Photofy qui pourraient avoir été affectées.
Dans une réaction, oneAudience assure que les données personnelles " n'ont jamais été destinées à être collectées, jamais ajoutées à notre base de données et jamais utilisées. " Des mesures auraient été prises avec une nouvelle version du SDK qui est par ailleurs retiré.
MobiBurn écrit pour sa part ne pas recueillir, partager ou monétiser des données de Facebook. " MobiBurn a cessé toutes ses activités jusqu'à ce que notre enquête sur les tiers soit finalisée. "
-
Le Data Transfer Project veut faciliter la portabilité des données entre les services. Apple rejoint Facebook, Google, Microsoft et Twitter dans cette initiative open source. -
Dans le cadre d'une initiative open source, Facebook, Google, Microsoft et Twitter deviennent partenaires du Data Transfer Project pour la portabilité des données.
Vos commentaires
Mais comme disait Coluche : Compromis, chose due !
Du genre le lecteur vidéo Huawei, le lecteur musique Huawei, et beaucoup d'autres applis non-Facebook et pas forcément Huawei.
Sachant que je n'ai pas Facebook et que les 2 processus "natifs" Facebook sont désactivés sur mon téléphone.
Je ne commprends même pas que la CNIL ne gueule pas après ce genre de pratique, qui devrait être purement interdit, ou au moins désactivable.
Et Facebook qui sort que c'est une mauvaise utilisation des outils par les développeurs, ou mauvaise implémentation des développeerus... ça les arrangent bien que des données arrivent sur leur "graph.facebook.com" en attendant.
NB : j'ai pu constater ça grâce à l'appli "Blokada", qui merci bloque ces requêtes, et via "Lumens", qui permet de scruter toutes les fuites d'une appli (y compris quand l'IMEI ou toute autre info tente de fuiter).