Twitter és Facebook felhasználók adatai után is szimatolt két SDK
A MobiBurn és az OpenAudience SDK-i több személyes adathoz is illetéktelenül fértek hozzá.
Két, külső felektől származó SDK is illetéktelen hozzáférést biztosított Twitter, illetve Facebook felhasználók adataihoz - jelentették be a közösségi oldalak. A két cég biztonsági csapatai a hét elején számoltak be a problémáról, amely elsősorban a szolgáltatásaikhoz tartozó mobilappokat érintette.
Ahogy kapcsolódó közleményében a Twitter siet hangsúlyozni, nem a cég szoftverében található sebezhetőségről van szó, az illetéktelen adathozzáférés egy mobilalkalmazásokba ágyazható SDK-nak volt köszönhető. Utóbbi a felhasználók email címét, legutóbb közzétett tweetjét, illetve felhasználónevét tette potenciálisan elérhetővé illetéktelen felek számára - ha az adott alkalmazásba Twitter fiókjuk segítségével jelentkeztek be. A ZDNet információi szerint a szóban forgó SDK az OpenAudience adatelemző platformhoz tartozik, amely mind Android, mind iOS platformokra kínál hasonló megoldásokat.
A Twitter szerint az SDK problémás képességeit külső felek aktívan ki is használták, legalábbis Androdion - erre a vállalat az ügyben indított vizsgálata során bizonyítékot is talált. Az iOS felhasználók ugyanakkor egyelőre úgy tűnik nyugodtak lehetnek, a cég ugyanis egyelőre nem lát arra utaló jelet, hogy az iOS-es kiadásnál történt volna illetéktelen adathozzáférés.
A vállalat a Google-t, az Apple-t és több más iparági partnerét is értesítette a kártékony SDK-ról, továbbá Android platformon azoknak a felhasználóknak is küld tájékoztatást, akik érintettek lehetnek az ügyben. Addig is a cég azt javasolja a felhasználóknak, Twitter beállításaik között ellenőrizzék, milyen harmadik féltől származó alkalmazásoknak adtak hozzáférést fiókjukhoz, és ha a listában valamelyik appot nem ismerik fel, vagy épp már nem használják, vonják vissza az arra vonatkozó engedélyeket. Azt a cég nem közölte, eddigi eredményei szerint az ügyben hány felhasználó érintett.
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
A Facebook esetében az OpenAudience SDK hasonló biztonsági kockázatokat hordoz, a közösségi oldal helyzetét azonban nehezíti, egy második, az adatmonetizációs platformként működő MobiBurn vállalathoz tartozó SDK is. A két SDK a fentiekhez hasonlóan akkor férhet hozzá a személyes adatokhoz, ha a felhasználó egy a fejlesztőkészletet tartalmazó alkalmazásba Facebook fiókjával lép be - a vállalat szerint az SDK-k egyebek mellett a felhasználók nevére, email címére, és nemére vonatkozó adatokat is megszerezhetnek. A Twitterhez hasonlóan a Facebook is értesíti felhasználóit, akiknek információi potenciálisan veszélybe kerülhettek.
A közösségi óriás ráadásul már jogi lépéseket is tett a két SDK készítői ellen, akik közleményükben azzal védekeztek, ők csak az "eszközöket biztosítják", semmilyen felhasználói adatot nem gyűjtenek vagy tárolnak. A OneAudience mindenesetre azt is igyekezett hangsúlyozni, a kifogásolt funkciókat november 13-ával törölte SDK-jából.