TEMPO.CO, Jakarta - Twitter dan Facebook mengkonfirmasi kemungkinan data pribadi jutaan pengguna tersedot software berbahaya yang disembunyikan di aplikasi pihak ketiga. Data privasi itu termasuk nama, jenis kelamin, email, dan tweet terakhir.
"Kami baru-baru ini menerima laporan tentang pengembangan perangkat lunak seluler (SDK) berbahaya yang dikelola oleh oneAudience," demikian Twitter mengumumkan dalam sebuah posting blog pada hari Senin, 25 November 2019, seperti dikutip laman Mashabel.
SDK tersembunyi dalam aplikasi dari Google Play Store, dan mengeksploitasi kerentanan dalam ekosistem seluler untuk mengekspos data pribadi pengguna ke pengembang pihak ketiga. Aplikasi sering meminta akses ke media sosial pengguna, menautkan ke akun Twitter dan Facebook untuk menyediakan fitur seperti papan peringkat game dan kemampuan berbagi prestasi.
Namun, untuk melakukannya dengan menggunakan SDK ini berpotensi membuat pengembang pihak ketiga mengakses banyak data dari pada yang disepakati pengguna. "Meskipun kami tidak memiliki bukti yang menunjukkan ini digunakan untuk mengendalikan akun Twitter, ada kemungkinan seseorang dapat melakukannya," tulis Twitter.
Sejauh ini pengguna iOS tidak terkena dampak, tapi kerentanan itu dieksploitasi untuk mengakses data beberapa pengguna Twitter di Android. Twitter mengatakan telah memberitahu Google dan Apple tentang masalah ini, dan akan memberi tahu bagi mereka yang mungkin terkena dampak.
Pengguna Facebook juga terpengaruh oleh SDK oneAudience, serta SDK serupa dari MobiBurn. "(Keduanya) membayar pengembang untuk menggunakan kit pengembang software berbahaya (SDK) di sejumlah aplikasi yang tersedia di toko aplikasi populer," kata Facebook.
Perusahaan juga akan memberi tahu pengguna yang berpotensi terkena dampak, jumlahnya mencapai 9,5 juta. Dalam sebuah pernyataan kepada CNBC, Facebook mengklaim menghapus aplikasi yang menyinggung, serta mengeluarkan gencatan dan penghentian untuk oneAudience dan MobiBurn.
Sebagai tanggapan, oneAudience merilis pernyataan dan mengatakan akan segera mematikan SDK-nya, meskipun telah mendorong pembaruan untuk mencegah pengumpulan data. "Data ini tidak pernah dimaksudkan untuk dikumpulkan, tidak pernah ditambahkan ke database kami dan tidak pernah digunakan," kata oneAudience.
MobiBurn juga merilis pernyataan yang menyatakan tidak mengumpulkan, membagikan, atau memonetisasi data apa pun dari Facebook. Mereka juga membantah sebagai perantara yang mengenalkan pengembang aplikasi ke perusahaan monetisasi data pihak ketiga.
Meski begitu, MobiBurn akan menghentikan semua aktivitas sampai menyelesaikan penyelidikannya. Semua ini adalah pengingat lain untuk memperhatikan apa yang pengguna unduh, dan jangan pernah menautkan aplikasi ke akun media sosial jika bisa menghindarinya.
MASHABLE | ONEAUDIENCE | MOBIBURN
