Aplicativos usam logins do Twitter e Facebook para roubar informações

Desenvolvedores exploram vulnerabilidades para obter dados de usuários das redes sociais, como e-mail e último tuíte
Equipe de Criação Olhar Digital25/11/2019 22h30

20190820090247
Publieditorial

Se você usou sua conta do Twitter ou do Facebook para logar em outro aplicativo no seu celular, algumas de suas informações pessoais podem estar nas mãos erradas. Nesta segunda-feira (25), as redes sociais foram vítimas do chamado golpe da oneAudience, um kit de desenvolvimento de software (SDK) usado por desenvolvedores para obter seu email, nome de usuário e último tuíte.

O Twitter emitiu um aviso em seu site informando a existência da vulnerabilidade. Depois que as informações são coletadas por estes desenvolvedores, elas são compartilhadas com a empresa que criou a ferramenta. O Twitter alega que a falha não está no próprio Twitter, “mas na falta de isolamento entre os SDKs em um aplicativo”.

A empresa acrescenta que não possui quaisquer evidências que indiquem que alguém tenha explorado a brecha para assumir o controle da conta de terceiros – mas alerta que a possibilidade existe. A gigante de mídias sociais informa que entrou em contato com a Apple e o Google, mas não há nenhum indício de usuário do iOS que tenha coletado informações pessoais a partir desta falha.

O Twitter encerra a nota dizendo que planeja entrar em contato com qualquer pessoa afetada pelo erro. “Não há nada a fazer no momento, mas se você acha que pode ter baixado um aplicativo mal-intencionado de uma loja de aplicativos de terceiros, recomendamos a exclusão imediata”, escreve.

Reprodução

Quanto ao Facebook, um porta-voz da empresa informou ao Engadget que o acesso de login de qualquer aplicativo que aproveitasse a vulnerabilidade foi retirado. Além disso, a empresa emitiu ‘ordens de cessar e desistir’ para o oneAudience e o Mobiburn (outro kit de desenvolvimento de software que oferece funcionalidade semelhante).

A empresa de Mark Zuckerberg também explicou que os aplicativos que usavam oneAudience ou Mobiburn poderiam compartilhar informações como nome, email e gênero com as empresas que criaram os SDKs. O Facebook ainda não alertou usuários publicamente, mas planeja notificar 9,5 milhões de pessoas sobre a violação de dados nas próximas horas.

Fonte: Engadget