Photo by Sara Kurfeß on https://unsplash.com/photos/6lcT2kRPvnI

臉書、推特本周雙雙指出有惡意SDK混在第三方程式中存取用戶的帳號個資,可能有數百個Android裝置受害。

兩家公司都是在外部安全研究人員告知後得知此事。推特周二公告指出,一個名為oneAudience的行銷公司開發的app SDK (software development kit),藉由嵌在其他app中以存取推特用戶的帳號資訊,包括帳號、電子郵件以及最新一則推文。雖然沒有證據顯示目的是控制推特帳號,但技術上是可以做到的。

推特已掌握oneAudience透過其SDK,存取了至少「一些」Android app的個資。但尚未發現影響到iOS版推特用戶。

臉書則對媒體表示有二家廠商涉及此事。除了one Audience,另一家是MobiBurn。臉書已經對二家公司發出「停止及終止(cease and desist)信」,並以違反臉書政策為由將之移除。臉書表示二家業者藉此存取了臉書用戶的個資,包括姓名、郵件和性別等。

這次個資外洩主要是起於,這些廠商付錢讓第三方app包含其SDK。等用戶下載並允許這些app存取臉書或推特帳號,使惡意SDK得以蒐集用戶帳號下的個資。

臉書和推特會對可能受害用戶發出通知。推特說已經通知兩大app下載市集Google Play和蘋果App Store,也通知了其他合作夥伴。首先報導的CNBC聲稱,有數百名用戶受害。

兩家公司呼籲使用者要慎選允許存取社交帳號的app,不認識或不再用的app,也要記得取消其權限。

被臉書移除的Mobiburn發出聲明,指該公司並未蒐集、分享或販售臉書上的資料,純粹只是為了在資料蒐集業者和app開發商間牽線,但該公司將在完成調查「第三方業者」前,暫停一切此類運作。

熱門新聞

Advertisement