Home Sociedad Nueva vulnerabilidad expuso los datos de los usuarios de Facebook y Twitter

Nueva vulnerabilidad expuso los datos de los usuarios de Facebook y Twitter

Dos kits de desarrollo de software de terceros integrados por más de cientos de miles de aplicaciones Android han sido descubiertos con acceso no autorizado a los datos de los usuarios asociados con sus cuentas de medios sociales conectadas.

En una entrada de blog publicada durante la jornada del lunes último, Twitter reveló que un SDK desarrollado por OneAudience contiene un componente que viola la privacidad que puede haber pasado algunos de los datos personales de sus usuarios a los servidores de OneAudience.

Tras lo expresado por Twitter, Facebook ha publicado una declaración que revela que un SDK de otra empresa, Mobiburn, también está siendo investigado por una actividad maliciosa similar que podría haber expuesto a sus usuarios conectados con ciertas aplicaciones Android a las empresas de recogida de datos.

Tanto OneAudience como Mobiburn son servicios de monetización de datos que pagan a los desarrolladores para que integren sus SDKs en las aplicaciones, que luego recopilan los datos de comportamiento de los usuarios y los utilizan con los anunciantes para realizar marketing dirigido.

En general, los kits de desarrollo de software de terceros utilizados con fines publicitarios no deben tener acceso a su información de identificación personal, contraseña de cuenta o tokens de acceso secreto generados durante el proceso de “Iniciar sesión con Facebook” o “Iniciar sesión con Twitter”.

Sin embargo, según se informa, ambos SDK maliciosos contienen la capacidad de ocultar y recopilar sin autorización estos datos personales, a los que, de lo contrario, usted sólo había autorizado a los desarrolladores de aplicaciones a acceder desde sus cuentas de Twitter o Facebook.

“Este problema no se debe a una vulnerabilidad en el software de Twitter, sino más bien a la falta de aislamiento entre los SDKs dentro de una aplicación”, aclaró Twitter al revelar el incidente de la recopilación de datos.

Por lo tanto, la gama de datos expuestos se basa en el nivel de acceso que los usuarios afectados han proporcionado al conectar sus cuentas de medios sociales a las aplicaciones vulnerables.

Estos datos suelen incluir direcciones de correo electrónico de los usuarios, nombres de usuario, fotos, tweets, así como tokens de acceso secreto que podrían haber sido utilizados indebidamente para tomar el control de sus cuentas de medios sociales conectadas.

“Aunque no tenemos evidencia que sugiera que esto fue usado para tomar el control de una cuenta de Twitter, es posible que una persona pueda hacerlo”, expresaron desde Twitter.

“Tenemos pruebas de que este SDK se utilizó para acceder a los datos personales de la gente para al menos algunos titulares de cuentas de Twitter utilizando Android; sin embargo, no tenemos pruebas de que la versión iOS de este SDK malicioso se dirigiera a personas que utilizan Twitter para iOS”.

Twitter también ha informado a Google y Apple sobre los SDK maliciosos y ha sugerido a los usuarios que simplemente eviten descargar aplicaciones de tiendas de aplicaciones de terceros y que revisen periódicamente las aplicaciones autorizadas.

Con información de: El Español.