Para garantir a segurança necessária e a proteção dos utilizadores, muitas apps e serviços delegam a autenticação nas redes sociais. Assim, e com uma autenticação conhecida, os utilizadores têm acesso garantido e, acima de tudo, seguro.
A prova que este nem sempre é um processo seguro é que surgem agora informações importantes. Segundo o que foi revelado, os mecanismos de autenticação do Facebook e do Twitter foram abusados e várias apps aproveitaram-se. Isto resultou em mais um roubo de dados dos utilizadores.
Mais uma falha de segurança usada para roubar dados
Esta nova falha de segurança foi revelada agora pelo próprio Twitter, que relatou de forma detalhada o processo usado. Depois de alertados por uma empresa de segurança, avaliaram a situação e confirmaram que os dados tinha sido roubados. Para além da sua autenticação, também a do Facebook foi afetada.
Segundo foi revelado, o problema não está nos mecanismos de autenticação destas redes sociais, mas sim num elemento externo. A SDK de desenvolvimento de software mantida pela oneAudience tinha código malicioso e que capturava os dados dos utilizadores.
Dos dados que se sabem ter estado acessíveis, podemos contar com o email, nome de utilizador e o último Tweet partilhado. A empresa não tem evidências de que esta falha tenha sido explorada para ganhar o controlo da conta de qualquer utilizador.
Os alvos foram os utilizadores do Twitter e do Facebook
Sendo esta uma SDK mais virada para o desenvolvimento de apps para Android, estima-se que apenas os utilizadores deste sistema tenham sido afetados. A empresa de segurança contactou também a Google e a Apple, para que sejam verificados os acessos aos dados dos seus utilizadores.
De forma a garantir a proteção dos dados, o Twitter vai, contudo, contactar todos os utilizadores que usaram estas apps. Recomenda também a remoção de apps estranhas e o bloqueio do acesso aos dados por estas mesmas apps. O Facebook revelou que já contactou a oneAudience e bloqueou o acesso das apps que usam esta SDK.
Este é mais um caso grave de roubo de dados. Mesmo não sendo culpa dos mecanismos das redes, está focado principalmente nos serviços que oferecem e na forma como dão acesso aos dados. Mais uma vez os visados são os utilizadores que confiam nestes mecanismos, supostamente seguros.