Vấn đề này được CNDC thông báo đầu tiên. Cho đến nay, không có dấu hiệu cho thấy người dùng iOS bị ảnh hưởng.
Twitter cho biết vấn đề không phải do lỗ hổng trong phần mềm của Twitter, mà là sự thiếu cách ly giữa SDK (bộ phát triển phần mềm) trong một ứng dụng.
“Chúng tôi đã được các nhà nghiên cứu bảo mật thông báo về lỗ hổng trong ứng dụng của bên thứ ba”, Twitter cho biết trong một bài đăng trên blog. Theo đó, các nhà nghiên cứu phát hiện ra rằng phần mềm One Audience đã cho các nhà phát triển bên ngoài quyền truy cập vào thông tin cá nhân, tên người dùng và địa chỉ email. Nếu người dùng đã sử dụng tài khoản Twitter của họ để đăng nhập vào các ứng dụng này, các tweet gần đây nhất của họ cũng có thể bị truy cập. CNBC cho biết thêm các ứng dụng chỉnh sửa ảnh như Giant Square và Photofy có thể bị ảnh hưởng.
Về nguyên tắc, bộ công cụ phát triển phần mềm của bên thứ ba không được phép truy cập vào thông tin nhận dạng cá nhân, mật khẩu tài khoản hoặc mã token truy cập bí mật được tạo trong quá trình ‘Đăng nhập bằng Facebook’ hoặc ‘Đăng nhập bằng Twitter’.
Nhưng theo báo cáo, cả hai SDK độc hại trên đều có khả năng lén lút và thu thập trái phép dữ liệu cá nhân này. Hoạt động này chỉ được phép xảy ra khi người dùng ủy quyền cho các nhà phát triển truy cập bằng tài khoản Twitter hoặc Facebook của họ.
“Vấn đề này không phải do lỗ hổng trong phần mềm của Twitter, mà là do sự thiếu cách ly giữa các SDK trong ứng dụng”, Twitter nói rõ trong thông báo về sự cố thu thập dữ liệu.
Một phát ngôn viên của Facebook đưa ra thông báo: “Sau khi điều tra, chúng tôi đã xóa các ứng dụng One Audience và Mobiburn khỏi nền tảng vì vi phạm chính sách”. Chúng tôi sẽ thông báo cho những người có thông tin mà chúng tôi tin rằng có thể được chia sẻ sau khi họ cấp quyền cho các ứng dụng này truy cập hồ sơ của họ như tên, email và giới tính. Chúng tôi khuyến khích mọi người thận trọng khi chọn ứng dụng của bên thứ ba nào được cấp quyền truy cập vào tài khoản truyền thông xã hội của họ”.