Twitter a déclaré qu'un incident de sécurité avait permis à des tiers d'exploiter l'API de l'entreprise pour retrouver des noms d'utilisateur à partir de numéros de téléphone.


Cet article a été publié le par Groupe Web92.

Selon Twitter, les attaquants ont exploité une fonction légitime de l'API qui permet aux utilisateurs qui viennent de créer un compte de retrouver des personnes qu'ils connaissent sur le réseau social.../...

Twitter a indiqué lundi dernier 3 février 2020, que l'entreprise a pris connaissance des tentatives d'exploiter l'API le 24 décembre 2019, à la suite d'un article du site TechCrunch. L'article décrivait en détail le parcours d'un chercheur en sécurité qui utilisait les fonctionnalités de l'API de Twitter pour faire correspondre 17 millions de numéros de téléphone aux noms d'utilisateurs publics. Twitter affirme qu'à la suite de cet article, la société a suspendu un vaste réseau de faux comptes, qui avaient été utilisés dans cette optique.

Au cours de l'enquête, Twitter a découvert que ce bug de l'API n'avait pas seulement été exploité par le chercheur en sécurité de TechCrunch, mais également par d'autres acteurs. Sans préciser de qui il s'agit, le réseau social a expliqué que certaines des adresses IP utilisées avaient des liens avec des « acteurs sponsorisés par l'Etat », expression généralement utilisée pour décrire les agences de renseignements gouvernementales, ou les groupes de hackers soutenus par un gouvernement.

Twitter déclare rendre aujourd'hui public les résultats de son enquête simplement par principe et par mesure de précaution.

Bug dans l'API
Selon Twitter, les attaquants ont exploité une fonction légitime de l'API qui permet aux utilisateurs qui viennent de créer un compte de retrouver des personnes qu'ils connaissent sur le réseau social. Grâce à cette fonction, l'utilisateur qui soumet un numéro de téléphone peut retrouver le compte Twitter correspondant.

Les attaques n'ont pas touché tous les utilisateurs du réseau social, mais uniquement ceux qui avaient activé dans les paramètres (comme sur la photo en bas de page ci-dessous) l'option permettant la correspondance basée sur leur numéro de téléphone. « Les utilisateurs n'ayant pas activé cette option, ou n'ayant pas de numéro de téléphone associé à leur compte n'ont pas été exposées par cette faille », a déclaré Twitter.

Le réseau social précise qu'un certain nombre de modifications de l'API ont été apportées après que l'attaque ait été détectée, « afin qu'il ne puisse plus renvoyer de noms de compte spécifiques en réponse aux requêtes ».

activité

Recommander cet article

Le formulaire ci-dessous vous permet de recommander l'article Twitter a déclaré qu'un incident de sécurité avait permis à des tiers d'exploiter l'API de l'entreprise pour retrouver des noms d'utilisateur à partir de numéros de téléphone..

 Champs obligatoires

@
@
Veuillez recopier le code de sécurité ci-dessous afin de confirmer que vous n'êtes pas un robot.