Un chercheur en sécurité a déclaré avoir associé 17 millions de numéros de téléphone à des comptes d’utilisateurs Twitter en exploitant une faille dans l’application Android.
Twitter n’a peut-être pas été entraîné dans des scandales politiques et de confidentialité majeurs comme Facebook, mais il a son lot de problèmes. La plupart de ces problèmes sont dus à des défauts techniques, notamment des bugs, qui font fuiter les informations des utilisateurs alors qu’ils ne le devraient pas. Le dernier semble être une faille presque simple qui pourrait correspondre aux numéros de téléphone des utilisateurs en téléchargeant simplement une liste massive de numéros générés de manière aléatoire via l’application Twitter sur Android.
L’exploit a été découvert et testé par le chercheur en sécurité Ibrahim Balic durant deux mois. Balic a généré des millions de numéros de téléphone et les a organisés dans un ordre non séquentiel pour contourner la mesure de sécurité de Twitter conçue pour bloquer exactement ce type de tentative de pêche. Apparemment, c’était aussi simple que de déclencher le bug.
Twitter a permis aux utilisateurs de télécharger les numéros de contact afin de vérifier s’ils ont des comptes Twitter et de les connecter. Balic a pu associer 17 millions de numéros de téléphone générés à des comptes d’utilisateurs Twitter, dont certains ont été confirmés par TechCrunch. Le grand n’était pas présent sur l’interface Web de Twitter.
Balic n’a pas signalé le problème à Twitter, mais a alerté les utilisateurs concernés d’un groupe WhatsApp. Il dit que Twitter a bloqué les tentatives le 20 décembre et un porte-parole de l’entreprise a confirmé qu’il avait suspendu les comptes qui exploitaient le système de cette façon. Il n’a pas confirmé le bogue réel ni les mesures qu’il a prises pour garantir que la fonctionnalité de téléchargement des contacts ne serait plus exploitable de cette façon.
Cet exploit n’est peut-être pas lié à celui que Twitter a annoncé publiquement cette semaine et qui affecte également l’application Android. Cela a été décrit plus comme un bogue qui nécessitait une injection de code plus active plutôt que d’abuser des fonctionnalités fournies par Twitter lui-même. Quoi qu’il en soit, il rejoint la liste des vulnérabilités de Twitter signalées cette année, dont certaines n’affectent que l’application Android du réseau social.
