Facebook et Twitter ont annoncé que les données personnelles de centaines d’utilisateurs ont peut-être été mal utilisées après avoir utilisé leurs comptes pour se connecter à certaines applications. Parmi les données qui ont été collectées de manière malveillante, il y a les adresses e-mail et les noms d’utilisateur.
Twitter et Facebook au cœur de la tourmente
Le 25 novembre 2019, Facebook et Twitter ont déclaré que les données privées de centaines d’utilisateurs avaient été compromises. Cela s’est notamment fait par le biais d’applications malveillantes tierces téléchargeables sur Play Store et App Store. Les deux sociétés de médias sociaux ont été prévenues par une équipe de chercheurs en sécurité qui ont découvert des kits de développement de logiciel (SDK) malveillant.
Ledit SDK a supposément été créé par OneAudience et MobiBurn, et permettrait aux développeurs d’accéder à des informations personnelles qu’ils n’étaient pas supposés avoir. Il est à noter que ces logiciels malveillants n’auraient touché que les utilisateurs Android, et que jusqu’à présent, il n’y a aucune preuve que les utilisateurs d’iOS sont également concernés.
Les justifications de toutes les entreprises concernées
Dans un article de blog, Twitter a déclaré que « cela n’était nullement lié à un bug sur sa plateforme, mais plutôt au manque d’isolement avec les kits de développement logiciel (SDK) d’une application ». Par ailleurs, l’entreprise a affirmé qu’elle informera les utilisateurs de Twitter qui pourraient avoir été victimes de ces logiciels malveillants. C’est notamment Twitter qui a identifié deux des applications malveillantes qui ont utilisé le SDK, à savoir Giant Square et Photofy.
De son côté, Facebook a déclaré dans un communiqué de presse publié sur CNBC : « Après enquête, nous avons supprimé les applications de notre plateforme pour violation des règles de notre plateforme. Nous avons également émis des lettres de cessation et de désistement contre OneAudience et MobiBurn. » Facebook a également dit qu’il prévoyait d’avertir les personnes dont les données personnelles ont été compromises, mais il a refusé de dévoiler le nom des applications malveillantes.
Enfin, les deux entreprises ont affirmé avoir informé Google et Apple de l’existence du SDK malveillant afin qu’ils puissent prendre d’autres mesures si nécessaire. OneAudience et MobiBurn n’ont pas immédiatement réagi face au problème. Cependant, MobiBurn a indiqué sur son site Web que son SDK ne serait désormais plus disponible. Quant à OneAudience, il a complètement nié avoir collecté illégalement des données des utilisateurs, et il a mis à jour son SDK.
