Twitter и Facebook утверждают, что некоторые мобильные приложения, написанные для этих платформ, использовали SDK, созданные недобросовестными маркетологами, для сбора конфиденциальных сведений у пользователей мобильных устройств.
Были использованы бреши в системе безопасности операционной системы Android для доступа к пользовательским данным социальных сетей Facebook и Twitter. Из-за открытой экосистемы Android и разрешений, которые пользователи дают приложениям, вредоносные программы смогли получить доступ к огромному количеству данных. Подобная проблема не затронула пользователей iOS.
Компании получили отчет от исследователей безопасности, в котором было обнаружено, что приложение для разработки ПО под названием One Audience предоставляет сторонним разработчикам доступ к личным данным пользователей: адресам электронной почты, именам и последним твитам людей, которые использовали свои учетные записи в Twitter для доступа к приложениям, таким как Giant Square и Photofy.
"Мы считаем, что людям важно знать, что это произошло, и что они должны проверять приложения, которые используют для подключения к своим учетным записям", — сказала представитель Twitter Линдсей МакКаллум.
В свою очередь в Facebook говорят, что oneAudience и аналогичная разработка от компании Mobiburn приплачивали разработчикам приложений за использование своих SDK; эти приложения в итоге оказались в легитимных и популярных магазинах.
Facebook так прокомментировала эту ситуацию: "После расследования мы удалили приложения с нашей платформы за нарушение политики и написали письма в One Audience и Mobiburn". Также компания планирует уведомить людей, информация которых может быть передана другим лицам.
"Мы призываем людей быть осторожными при выборе сторонних приложений, которым предоставляется доступ к их учетным записям в социальных сетях", – сказали в компании.
Представители oneAudience отказались комментировать ситуацию, в то время как компания MobiBurn выпустила специальное заявление: "Никаких данных из Facebook MobiBurn не собирает, не передает третьим сторонам и не монетизирует. MobiBurn действует как посредник в области коммерческого обмена данными, используя набор SDK, разработанных третьими сторонами, занимающимися монетизацией данных. У MobiBurn нет никакого доступа к данным, собранным разработчиками мобильных приложений, MobiBurn также не занимается их обработкой или хранением. MobiBurn только способствует процессу, налаживая связи между разработчиками мобильных приложений и компаниями, занимающимися монетизацией данных. Как бы там ни было, MobiBurn на данный момент приостанавливает всякую деятельность, до тех пор пока не завершится наше расследование в отношении третьих сторон".
В прошлом году Facebook оказалась в центре скандала, когда стало известно об утечке данных пользователей Facebook через компанию Cambridge Analytica. Последняя незаконно собрала данные 87 млн пользователей соцсети и передала их третьим лицам. В июле этого года компания договорилась с Федеральной торговой комиссией США о выплате штрафа по этому делу в размере $5 млрд.
В сентябре 2018 г. вскрылась еще одна утечка из Facebook, скомпрометировавшая данные еще 50 млн пользователей. Facebook установила факт атаки на свои сети, которая затронула пользователей, просматривавших собственные страницы с помощью функции "посмотреть как". Функция позволяет увидеть страницу "чужими глазами" — в том виде, в каком она отображается для кого-либо из других пользователей.
Facebook в целом не всегда уделяет достаточно внимания безопасности своих пользователей. Так, в марте 2019 г. сообщалось, что компания хранила сотни миллионов паролей в открытом виде, без шифрования, на внутренних серверах компании. Данная проблема коснулась как самой социальной сети, так и фотосервиса Instagram.
