Twitter a corrigé une faille dans son API qui permettait de faire correspondre les utilisateurs à leurs numéros de téléphone.
Twitter annonce avoir corrigé un bug découvert l’année dernière dans son API qui permettait facilement à quelqu’un de faire correspondre le pseudo Twitter d’un utilisateur avec un numéro de téléphone. La société a également révélé avoir détecté plusieurs attaques utilisant l’exploit, qui semblent provenir d’Israël, de Malaisie et d’Iran, probablement le travail d’acteurs parrainés par des États.
En décembre, le chercheur en sécurité Ibrahim Balic a révélé une vulnérabilité dans l’application Android de Twitter qui lui permettait de faire correspondre des millions de noms d’utilisateur publics avec leurs numéros de téléphone.
Balic n’a pas signalé cela à Twitter, mais la société a mené sa propre enquête sur le problème peu de temps après la publication du rapport. Aujourd’hui, elle a officiellement reconnu le problème et a révélé que plusieurs attaquants avaient abusé d’une fonctionnalité d’API pour accéder aux informations personnelles des utilisateurs.
La fonctionnalité en question est normalement conçue comme un moyen facile pour vous de trouver des amis ou des collègues sur Twitter en utilisant leur numéro de téléphone, à condition qu’ils aient activé l’option « Permettez aux personnes qui ont votre numéro de téléphone de vous trouver sur Twitter ». Si vous êtes dans l’UE, vous devriez être en sécurité car la fonctionnalité y est opt-in. Cependant, si vous vivez ailleurs, c’est en fait une option de retrait et il est fort probable que vous ne saviez même pas que cela existe.
Twitter dit que Balic n’était pas le seul à avoir exploité la fonctionnalité « au-delà de son cas d’utilisation prévu », car il a identifié plusieurs autres comptes utilisés pour effectuer le même type d’attaque. La société n’a pas donné de chiffre exact, mais a indiqué que beaucoup d’entre eux sont situés en Iran, en Malaisie et en Israël, indiquant un lien possible avec des acteurs parrainés par des États.
Le réseau social a suspendu les comptes et corrigé la faille, donc la seule chose qu’il vous reste à faire est de revoir les paramètres de votre compte et de désactiver la fonction en question si vous préférez ne pas être trouvé en utilisant votre numéro de téléphone ou votre adresse e-mail.
Il convient de noter que les API tierces peuvent être un casse-tête encore plus important en ce qui concerne les vulnérabilités, et Twitter est également connu pour avoir abusé des données des utilisateurs pour vendre des annonces ciblées dans un passé récent. C’est pourquoi certains pensent que Twitter bénéficiera du plan du PDG Jack Dorsey sur la création d’une norme de médias sociaux décentralisée.
