Un altro sostanzioso carico di dati personali degli utenti di Facebook e Twitter è finito in pasto a soggetti non meglio identificati: ad annunciarlo sono stati proprio i due social network in queste ore, rivelando l'esistenza di un bug situato all'esterno delle proprie app che però è stato utilizzato per accedere in modo illecito alle informazioni personali di quasi 10 milioni di persone.

Il bug sfruttato in effetti non risiede in Facebook né in Twitter, ma nel meccanismo attraverso il quale alcune app permettono di accedere ai propri servizi senza impostare un nuovo nome utente e password, ma semplicemente utilizzando l'account di uno dei due social. Effettuare l'operazione collega effettivamente i profili alle app in questione, ma la vulnerabilità scoperta mette a disposizione degli sviluppatori delle app una serie di informazioni personali degli utenti appena collegati, tra le quali indirizzi email, nomi utente e ultimi contenuti pubblicati.

A essere colpiti sono sicuramente gli utenti Android ma non è escluso che la falla sia estesa anche ad iOS, mentre sotto accusa sono finite in particolare due aziende: si tratta di OneAudience e MobiBurn, che hanno realizzato pacchetti software (o SDK) appositamente pensati per facilitare i collegamenti delle app ai due social e li hanno forniti a sviluppatori software che li hanno integrati nelle loro app senza necessariamente sapere che in realtà intercettavano informazioni in modo illecito. Questo vuol dire che tutte le app che utilizzano gli SDK dei due soggetti potrebbero aver rubato informazioni ai loro utenti, o anche peggio; stando a Twitter infatti la vulnerabilità scoperta permette anche di prendere il controllo degli interi account.

Il gruppo ha affermato di non avere prove del fatto che questo scenario si sia effettivamente verificato, ma non ha potuto neppure negarlo. Facebook dal canto suo non è entrata nel dettaglio della vicenda, ma ha fatto sapere di aver revocato alle app in questione il permesso di accedere ai dati di Facebook e di aver intenzione di notificare gli utenti di queste app, il cui totale è di ben 9,5 milioni. Il consiglio per tutti è in ogni caso quello di scollegare manualmente dall'accesso ai social tutte le app inutilizzate recandosi a questo indirizzo per agire sui collegamenti con Twitter e a quest'altro per revocare gli accessi a Facebook.