Zestaw SDK innych firm zebrał dane użytkowników z Twittera i Facebooka bez zgody

Twórcy Twittera i Facebooka stwierdzili, że kilka zestawów programistycznych (SDK) pochodzących ze źródeł zewnętrznych uzyskiwało dane prywatnych użytkowników poza ich zasięgiem, bez ich wiedzy i zgody.

Twitter jako pierwszy poinformował użytkowników o złośliwym zestawie SDK od oneAudience, wyjaśniając, że jego twórcy mogą wykorzystać lukę w ekosystemie mobilnym w celu uzyskania dostępu do danych osobowych, takich jak e-maile, nazwy użytkowników i ostatnie tweety.

Rolą zestawów SDK jest gromadzenie danych o użytkowaniu, które są następnie wykorzystywane przez firmy monetyzujące dane do celów reklamowych. W rzeczywistości programiści otrzymują wynagrodzenie za wdrożenie takich zestawów SDK w swoich aplikacjach.

„Chociaż nie mamy dowodów sugerujących, że został on wykorzystany do przejęcia kontroli nad kontem na Twitterze, możliwe, że dana osoba mogłaby to zrobić” – powiedział Twitter w oficjalnym komunikacie. „Mamy dowody na to, że ten zestaw SDK był używany do uzyskiwania dostępu do danych osobowych użytkowników, przynajmniej dla niektórych posiadaczy kont na Twitterze korzystających z Androida, jednak nie mamy dowodów, że wersja tego złośliwego zestawu SDK na iOS była skierowana do osób korzystających z Twittera na iOS”.

Problem pojawił się, gdy niektóre aplikacje korzystające z tego zestawu SDK uzyskały dostęp do kont na Twitterze. Niestety użytkownicy nie mogą nic na to poradzić, oprócz sprawdzenia, które aplikacje mają dostęp do Twittera.

Według raportu CNBC Facebook miał ten sam problem z OneAudience oraz drugą firmą o nazwie Mobiburn. Facebook wysłał do obu firm list o zaprzestaniu działalności i usunął wszystkie aplikacje korzystające z tych zestawów SDK ze swojej platformy.

Obie firmy stwierdziły, że dane zgromadzone przez ich zestawy SDK nie były wykorzystywane do niecnych celów, sprzedawane ani wykorzystywane w żaden sposób.