De persoonlijke gegevens van Facebook- en Twitter-gebruikers zijn mogelijk gelekt via apps van derde partijen. De gebruikers gebruikten hun accounts bij de social media om in te loggen bij specifieke Android-apps uit de Google Play Store, waarna de makers van die apps toegang konden krijgen tot de data. Dat meldt CNBC.
De verhalen van Twitter en Facebook verschillen ietwat. Twitter vertelt dat het een melding had gekregen van een malafide software development kit (SDK) die onderhouden wordt door een bedrijf genaamd One Audience. Ontwikkelaars gebruiken SDK’s om bijvoorbeeld apps te bouwen voor bepaalde platformen.
Deze SDK kon geïmplementeerd worden in een mobiele applicatie en vervolgens een kwetsbaarheid in het mobiele ecosysteem misbruiken. Op die manier was het mogelijk om bij persoonlijke informatie – namelijk je e-mailadres, gebruikersnaam en laatste tweet – te komen en deze te verzamelen.
Volgens Twitter was het ook mogelijk om de controle over je Twitter-account over te nemen via de SDK. Gelukkig heeft het sociale medium geen bewijs dat dit ook echt gebeurd is.
Facebook zag meerdere SDK’s
Waar Twitter het over een enkele SDK heeft, spreekt Facebook van meerdere versies. Die SDK’s werden door One Audience en Mobiburn onderhouden, en bij Facebook gemeld door beveiligingsonderzoekers. Facebook claimt dat de twee bedrijven ontwikkelaars betaalden om de malafide SDK’s in apps te gebruiken.
Volgens Facebook konden ontwikkelaars met de SDK’s toegang krijgen tot gegevens als je naam, e-mail en geslacht. Het bedrijf zegt onderzoek te hebben gedaan, de apps van het platform te hebben verwijderd wegens het schenden van beleidsregels en cease and desist-brieven te hebben verstuurd.
Mobiburn heeft tegenover CNBC ook gereageerd, en ontkent de claims van Facebook. Het bedrijf zegt bijvoorbeeld geen data van Facebook te verzamelen of te delen, of hier geld aan te verdienen. “Toch heeft Mobiburn al zijn activiteiten stopgezet, totdat ons onderzoek naar derde partijen is afgerond”, aldus een woordvoerder van het bedrijf.
Gebruikers op de hoogte gesteld
Facebook en Twitter zeggen beide gebruikers te gaan benaderen. Het gaat dan specifiek om gebruikers van wie ze denken dat ze getroffen zijn door de problemen. Twitter raadt daarnaast aan om goed te kijken naar welke apps toegang hebben tot jouw Twitter-account. Welke dat zijn, kun je hier zien.
Ook heeft Twitter Apple en Google op de hoogte gesteld van de problemen. Er zijn echter geen bewijzen dat die problemen zich ook voordeden op iOS. Apple is dus meer uit voorzorg geïnformeerd.