En décembre dernier, un bug exposait 17 millions de numéros de téléphone d’utilisateurs Twitter. Il avait été découvert par Ibrahim Balic, chercheur en cybersécurité. Ce dernier avait signalé à Twitter qu’il avait réussi à faire correspondre 17 millions de numéro de téléphones avec autant de compte Twitter, retrouvant ainsi leurs propriétaires. Hier, Twitter a annoncé que cette faille a été exploitée par plusieurs organes mal intentionnés.
Une API exploitée par les mauvaises personnes
Ibrahim Balic n’a visiblement pas été le seul à découvrir le bug sur Twitter. Plusieurs faux comptes dont les adresses IP proviennent de Malaisie, d’Iran, ou d’Israël ont été repérées par les équipes du réseau social. Il n’est pas exclut que les personnes derrière ces comptes soient rémunérés par des États pour abuser de cette faille. Utilisée comme la plateforme le prévoit, cette API permet habituellement à un nouvel utilisateur de suivre ses contacts sur Twitter, si ces derniers ont activé l’option reliant leurs comptes à leurs numéro de téléphone.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Toutes les personnes ayant activé cette option sont susceptibles d’avoir été exposées cet incident. Leur but n’était autre que de réussir à associer le numéro de téléphone d’une personne à son compte Twitter. Le chercheur en cybersécurité avait réussi à faire correspondre 17 millions de numéros et de comptes parmi lesquels figurent les coordonnées téléphoniques de personnalités politiques et de hauts fonctionnaires. Si d’autres personnes ont exploité ce bug, il serait intéressant d’estimer le nombre de personnes touchées dans le monde entier.
We recently discovered an issue that allowed bad actors to match a specific phone number with the corresponding accounts on Twitter. We quickly corrected this issue and are sorry this happened. You can learn more about our investigation here: https://t.co/Z6Q4geQ8jo
— Twitter Support (@TwitterSupport) February 3, 2020
Twitter apporte les corrections nécessaires
Twitter indique dans son annonce, après enquête, avoir rapidement apporté un certain nombre de modifications à son API. Ceci afin qu’elle n’indique plus de noms de compte précis en cas de recherche. De la même façon, tous les comptes susceptibles d’avoir exploité le bug ont été suspendus.
Le réseau social réaffirme dans son compte rendu d’enquête, sa volonté de protéger la confidentialité et la sécurité des personnes qui utilisent Twitter. Ce dernier indique continuer de travailler sur le bug de l’API afin que les utilisations abusives cessent totalement.