facebook-bug-bounty.jpg

Facebook processa empresa de análise por SDK ‘malicioso’

Da Redação
01/03/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Rede social entrou com ação contra a empresa de marketing digital e análise de dados OneAudience sob alegação de que ela teria acessado ilegalmente dados de usuários

facebook-bug-bounty.jpg

O Facebook entrou com ação contra uma empresa de marketing digital e análise de dados sob alegação de que ela teria acessado ilegalmente dados de usuários. A OneAudience, com sede em Nova Jersey, supostamente pagou a desenvolvedores de aplicativos para instalar um kit de desenvolvimento de software malicioso (SDK) em seus aplicativos. SDKs são pacotes de ferramentas básicas que tornam mais fácil e rápido para os desenvolvedores criarem seus aplicativos. Mas eles também podem conter rastreadores que enviam informações sobre o uso do dispositivo e do aplicativo ao fabricante do SDK, que pode ser usado para segmentar anúncios para você.

Os aplicativos teriam sido projetados para coletar informações, incluindo nome, sexo, e-mail dos usuários que efetuam login nos aplicativos com suas credenciais do Facebook, afirmou a rede social. “Os pesquisadores de segurança primeiro sinalizaram o comportamento da OneAudience para nós como parte de nosso programa de recompensas por abuso de dados. O Facebook e outras empresas afetadas, em seguida, tomaram medidas de execução contra a OneAudience”, escreveu a diretora de aplicação e litígio de plataforma da empresa, Jessica Romera.

“As medidas do Facebook incluem desativar os aplicativos, enviar à empresa uma carta de cessação e desistência e solicitar sua participação em uma auditoria, conforme exigido por nossas políticas. A OneAudience se recusou a cooperar”, disse a executiva.

Diz-se que a empresa fez o mesmo com os usuários do Twitter e do Google. O Twitter afirmou em um aviso que o problema se resumia a “falta de isolamento entre SDKs em um aplicativo”.

“Nossa equipe de segurança determinou que o SDK mal-intencionado, que pode ser incorporado a um aplicativo móvel, poderia potencialmente explorar uma vulnerabilidade no ecossistema móvel para permitir que informações pessoais (e-mail, nome de usuário e último tuíte) sejam acessadas e obtidas usando o SDK”, explicou o Twitter. “Embora não tenhamos evidências para sugerir que isso foi usado para controlar uma conta do Twitter, é possível que uma pessoa possa fazê-lo.”

Em comunicado divulgado em novembro do ano passado, a OneAudience disse que estava encerrando o SDK ofensivo. “Recentemente, fomos informados de que informações pessoais de centenas de IDs móveis podem ter sido passadas para nossa plataforma OneAudience. Esses dados nunca foram planejados para serem coletados, nunca adicionados ao nosso banco de dados e nunca utilizados”, afirmou a empresa na nota. “Atualizamos proativamente nosso SDK para garantir que essas informações não pudessem ser coletadas em 13 de novembro de 2019. Em seguida, enviamos a nova versão do SDK aos nossos parceiros desenvolvedores e exigimos que eles atualizem para esta nova versão”, finalizou. Com agências de notícias internacionais.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest