Twitter : une faille permettait d’associer des noms d’utilisateur à des numéros de téléphone

La société explique dans un billet de blog avoir découvert (été informé par un chercheur en cybersécurité serait plus exact) le 24 décembre 2019 que des personnes mal intentionnées détournaient l’API du réseau social pour y arriver.

Un premier compte a été « immédiatement suspendu », mais durant son enquête la société en à trouvé d’autres qui abusaient des faiblesses de son API. Ils proviennent de nombreux pays, mais « un volume particulièrement élevé de requêtes émana[ient] d'adresses IP situées en Iran, en Israël et en Malaisie ».

« Il est possible que certaines de ces adresses IP aient des liens avec des pirates informatiques soutenus par des États », ajoute Twitter. Les utilisateurs du réseau social ayant entrés leur numéro de téléphone – pour de la double authentification par exemple – et activés l’option « Permettez aux personnes qui ont votre numéro de téléphone de vous trouver sur Twitter » sont tous potentiellement touchées.

L’EFF explique que l’API disposait d’une protection : si un utilisateur envoyait une longue liste de numéros séquentiels, la demande était fort logiquement rejetée. « La solution de contournement est presque drôle tellement elle est simple : quelqu'un pouvait simplement télécharger une longue liste de numéros de téléphone aléatoires à la place ». Un chercheur en sécurité avait ainsi pu vérifier 17 millions de numéros de téléphone, en associant à des noms.

« Suite à notre enquête, nous avons immédiatement apporté un certain nombre de modifications à ce point de terminaison, afin qu'il ne puisse plus renvoyer de noms de compte spécifiques en réponse aux requêtes », affirme la société. Elle précise évidemment avoir suspendu les comptes ayant exploité cette vulnérabilité.

Pour désactiver la fonctionnalité Permettez aux personnes qui ont votre numéro de téléphone (ou notre adresse email) de vous trouver sur Twitter, c’est par ici que ça se passe.