Près de 10 millions d’utilisateurs sont concernés par cette exposition des données personnelles.

Les deux réseaux sociaux ont confirmé conjointement que les informations personnelles de certains de leurs utilisateurs ont été exposées à des personnes externes. Une fuite qui ne serait pas liée à une vulnérabilité de leur application respective, mais plutôt à un logiciel malveillant contenu dans certaines applications mobiles disponibles sur le Play Store. Celui-ci aurait « simplement » exploité une vulnérabilité de l’écosystème mobile, indique Twitter.

Le logiciel malveillant en question était dissimulé dans un kit de développement (SDK) soutenu par One Audience, une plateforme qui permet de connaitre l’audience d’une application. S’il est fréquent que des applications demandent l’accès aux réseaux sociaux de ses utilisateurs, c’est avant tout pour pouvoir plus facilement partager des succès ou le classement dans un jeu. Or, ici, les applications qui ont abusé du SDK ont permis à des développeurs tiers d’accéder aux données personnelles des utilisateurs de Twitter et Facebook, notamment leurs noms, adresses mail, sexe et leurs récents tweets.

« Bien que nous n’ayons aucune preuve suggérant que cela a été utilisé pour prendre le contrôle d’un compte Twitter, il est possible qu’une personne puisse le faire », a indiqué Twitter

Facebook a révélé à Mashable que One Audience et MobiBurn, qui propose également des SDK, « payaient les développeurs pour qu’ils utilisent des kits de développement de logiciels malveillants dans un certain nombre d’applications disponibles dans les magasins d’applications les plus populaires ».

 « Après une enquête, nous avons supprimé les applications de notre plateforme pour violation des règles de notre plateforme et émis des lettres de cessation et de désistement contre One Audience et Mobiburn. Nous prévoyons d’avertir les personnes dont les informations, selon nous, ont probablement été partagées, une fois qu’elles ont autorisé ces applications à accéder aux informations de leur profil, telles que leur nom, leur adresse électronique et leur sexe », a indiqué un porte-parole de Facebook. Twitter va également prendre contact avec ses utilisateurs concernés.

« Le problème n’est pas dû à une vulnérabilité du logiciel de Twitter, mais plutôt au manque d’isolement entre les kits de développement logiciel (SDK) d’une application », a précisé le réseau social à l’oiseau.

De son côté, One Audience a indiqué avoir supprimé le kit de développement problématique et précisé qu’aucune collecte de données n’avait été faite. « Ces données n’ont jamais été destinées à être collectées, jamais ajoutées à notre base de données et jamais utilisées », peut-on lire dans la déclaration de One Audience. Quant à MobiBurn, la société se défend également d’avoir collecté des informations personnelles d’utilisateurs de Facebook et Twitter et rappelle n’être qu’un intermédiaire.

Selon Facebook et Twitter, des développeurs externes ont effectivement eu accès aux données personnelles de leurs utilisateurs. Il est difficile de connaitre le nombre exact d’utilisateurs lésés, ainsi que le traitement réservé aux données qui ont fuité. Comme le soulignent les deux réseaux sociaux, le problème proviendrait avant tout d’une vulnérabilité de l’écosystème mobile qui ne concernerait – dans ce cas-ci – que les smartphones Android. Les deux conseillent d’éviter de coupler des applications tierces et inconnues avec son compte Facebook et Twitter afin d’éviter ce genre de problème.