Des pirates ont exploité un bug de Twitter pour soustraire des infos privées

Twitter

Des pirates ont exploité un bug de Twitter pour soustraire des infos privées

Notons que la fonctionnalité a fonctionné précisément comme prévu, sauf que quelqu\’un qui n\’était pas censé le faire a téléchargé des millions de numéros de téléphone générés au hasard et abusé de Twitter pour révéler les profils associés aux informations de contact des utilisateurs ajoutées à Twitter pour activer la sécurité des fonctionnalités.

Bien que la société ne soit pas sûre si le bug a été exploité par un seul pirate ou plusieurs groupes, elle a identifié plusieurs comptes engagés dans l\’attaque, situés dans un large éventail de pays, principalement de l\’Iran, Israel, et la Malaisie.

Sur la base de leurs adresses IP, Twitter estime que certains des comptes qui ont exploité la faille de l\’API peuvent avoir des liens avec des acteurs parrainés par l\’État.

Par conséquent, il « divulgue cet [incident] avec beaucoup de prudence et par principe ».

Twitter déclare dans son post officiel :

Nous avons immédiatement suspendu ces comptes et nous vous divulguons les détails de notre enquête aujourd\’hui parce que nous croyons qu\’il est important que vous soyez au courant de ce qui s\’est passé, et comment nous l\’avons réparé.

(Cliquez sur l\’image pour l\’agrandir)

La société a pris connaissance du problème le 24 Décembre 2019 après qu’un chercheur en sécurité «contraire à l\’éthique» a exploité une échappatoire similaire, ou la même, dans Twitter pour faire correspondre avec succès près de 17 millions de numéros de téléphone à leurs profils.

Twitter dit que le site du réseau social a depuis lors abordé la question et il n\’y a aucune action requise du côté des utilisateurs.

Après notre enquête, nous avons immédiatement apporté un certain nombre de modifications à ce critère d\’évaluation afin qu\’il ne puisse plus retourner les noms de compte spécifiques en réponse aux questions.

Toutefois, si vous n\’êtes pas au courant, vous pouvez également empêcher quiconque de trouver votre profil en fonction de votre adresse e-mail ou numéro de téléphone en naviguant vers

Bouton “Plus” (sur le Web) -> Paramètres et confidentialité -> Confidentialité et sécurité -> Détectabilité et contacts -> Détectabilité

Auteur : Noel NGUESSAN

Je suis Noel Nguessan, fondateur du site Arobasenet.com qui existe depuis 2007 et a aujourd'hui plus de 6.800 articles. Pour ma part, j'ai intégré le monde de l'internet en 1997 en qualité de créateur de site internet, avant de devenir développeur web et multimédia au début de l'année 2000, avant de basculer naturellement vers le SEO.