Un bug Twitter compromettant

Comme l’indique le chercheur, cette faille de sécurité vient de la fonctionnalité qui permet de télécharger ses contacts sur Twitter afin de retrouver facilement des personnes. Ibrahim Balic indique : « Si vous téléchargez votre numéro de téléphone, il récupère les données de l’utilisateur en retour ». TechCrunch a été en mesure de vérifier les dires de ce dernier en utilisant la fonction de réinitialisation du mot de passe pour finalement établir plusieurs correspondances, dont certaines concernaient des personnalités ou des hommes politiques.

Basé à Londres, Ibrahim Balic a réussi à établir une correspondance entre numéros de téléphone et comptes Twitter dans pas moins de sept pays, dont Israël, la Turquie, l’Iran, la Grèce, l’Arménie, l’Allemagne, mais aussi la France. Il a pu pratiquer faire ces recherches durant deux mois avant que le réseau social ne l’en empêche fin décembre.

À cette période, la plateforme évoquait un autre problème, faisant état d’une faille qui « pouvait permettre à un mauvais acteur de voir des informations non publiques ou de contrôler votre compte (c’est-à-dire d’envoyer des tweets ou des messages directs) ». Néanmoins, celle-ci nécessitait vraisemblablement l’injection de code malveillant, ce qui n’est pas le cas de la vulnérabilité découverte par Balic.

Pour sa part, Twitter a déclaré à TechCrunch qu’il s’attelait à ce que ce bug ne puisse plus être exploité. Un porte-parole a ajouté : « En apprenant ce bogue, nous avons suspendu les comptes utilisés pour accéder de manière inappropriée aux informations personnelles des personnes. La protection de la vie privée et de la sécurité des personnes qui utilisent Twitter est notre priorité numéro un et nous restons concentrés sur l’arrêt rapide des spams et des abus provenant de l’utilisation des API de Twitter ».

Presse-citron / Louise Millon

Tags: Twitter