Si has entrado en una App mediante Twitter y Facebook, es posible que tus datos se hayan visto comprometidos

216
twitter y facebook

Un kit de desarrollo de ‘software’ (SDK) malicioso ha permitido el acceso a la información personal, es decir, los datos de usuarios en Twitter y Facebook. Los piratas informáticos han podido acceder a datos como tu nombre y correo electrónico mediante el recurso a introducirse en aplicaciones de terceros a las que los usuarios habrían dado permiso para acceder a través de las dos redes sociales. Se suele hacer por ganar tiempo, pero no parece ser lo más aconsejable, al menos en el caso que nos ocupa.

Twitter ha anunciado, a través de un comunicado, que tienen “constancia de que este SDK (Un kit de de desarrollo móvil de software malicioso) fue utilizado para acceder a los datos personales de las personas de al menos algunos propietarios de cuentas de Twitter utilizando Android”.

La compañía de la manzanita vuelve a salir reforzada, ya que” aunque señalan que, por el contrario, “no tenemos evidencia de que la versión de iOS de este SDK malicioso esté dirigido a personas que usan Twitter para iOS”.  

Afirman que este problema no se debe a una vulnerabilidad en el software de Twitter, sino a la falta de aislamiento entre los SDK dentro de una aplicación. 

Así, añaden que “Nuestro equipo de seguridad ha determinado que el SDK malicioso, que podría integrarse en una aplicación móvil, podría explotar una vulnerabilidad en el ecosistema móvil para permitir el acceso y la toma de información personal (correo electrónico, nombre de usuario, último Tweet) utilizando el SDK malicioso. Si bien no tenemos evidencia que sugiera que esto se utilizó para tomar el control de una cuenta de Twitter, es posible que una persona pueda hacerlo”. 

Mobiburn y oneAudience, las proveedoras de servicios para móviles relacionadas con el caso

Twitter se ha puesto en contacto con oneAudience, la empresa proveedora de Intelegencia móvil que daba soporte al SDK, que ha publicado el siguiente comunicado:

“Recientemente, se nos informó que la información personal de cientos de ID de dispositivos móviles podría haberse transferido a nuestra plataforma oneAudience. Estos datos nunca fueron destinados a ser recopilados, nunca agregados a nuestra base de datos y nunca utilizados.Actualizamos de forma proactiva nuestro SDK para asegurarnos de que esta información no se pudiera recopilar el 13 de noviembre de 2019. Luego enviamos la nueva versión del SDK a nuestros socios desarrolladores y exigimos que actualicen a esta nueva versión. Creemos que los consumidores deberían tener la oportunidad de elegir con quién compartir sus datos y en qué contexto”.

Twitter ha informado a Google y a Apple sobre lo ocurrido, y también avisará a todos los usuarios de Android que se hayan podido ver afectados para recomendarles que eliminen todas las aplicaciones maliciosas que crean haberse descargado.

Con respecto a Facebook, un portavoz de la compañía ha manifestado a Engadget que que le había retirado el acceso de inicio de sesión a cualquier aplicación que violara sus políticas, y emitió cartas de cese y desistimiento a oneAudience y Mobiburn (otro SDK que ofrece una funcionalidad similar a oneAudience). 

La compañía continuó diciendo que las aplicaciones que usaban oneAudience y Mobiburn podrían haber compartido información como nombre, correo electrónico y género con las empresas que crearon los SDK. Facebook piensa notificar a 9,5 millones de personas que sus datos han sido potencialmente comprometidos.