Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Twitter : une faille permettait d’associer des noms d'utilisateur à des numéros de téléphoneCrédits : DKart/iStock

La société explique dans un billet de blog avoir découvert (été informé par un chercheur en cybersécurité serait plus exact) le 24 décembre 2019 que des personnes mal intentionnées détournaient l’API du réseau social pour y arriver.

Un premier compte a été « immédiatement suspendu », mais durant son enquête la société en à trouvé d’autres qui abusaient des faiblesses de son API. Ils proviennent de nombreux pays, mais « un volume particulièrement élevé de requêtes émana[ient] d'adresses IP situées en Iran, en Israël et en Malaisie ».

« Il est possible que certaines de ces adresses IP aient des liens avec des pirates informatiques soutenus par des États », ajoute Twitter. Les utilisateurs du réseau social ayant entrés leur numéro de téléphone – pour de la double authentification par exemple – et activés l’option « Permettez aux personnes qui ont votre numéro de téléphone de vous trouver sur Twitter » sont tous potentiellement touchées.

L’EFF explique que l’API disposait d’une protection : si un utilisateur envoyait une longue liste de numéros séquentiels, la demande était fort logiquement rejetée. « La solution de contournement est presque drôle tellement elle est simple : quelqu'un pouvait simplement télécharger une longue liste de numéros de téléphone aléatoires à la place ». Un chercheur en sécurité avait ainsi pu vérifier 17 millions de numéros de téléphone, en associant à des noms.

« Suite à notre enquête, nous avons immédiatement apporté un certain nombre de modifications à ce point de terminaison, afin qu'il ne puisse plus renvoyer de noms de compte spécifiques en réponse aux requêtes », affirme la société. Elle précise évidemment avoir suspendu les comptes ayant exploité cette vulnérabilité.

Pour désactiver la fonctionnalité Permettez aux personnes qui ont votre numéro de téléphone (ou notre adresse email) de vous trouver sur Twitter, c’est par ici que ça se passe.

5 commentaires
Avatar de secouss Abonné
Avatar de secousssecouss- 06/02/20 à 10:44:47

Un jour va falloir condamner les sociétés plutôt que parler de bug. être aussi bête c'est malhonnête...

Avatar de 127.0.0.1 INpactien
Avatar de 127.0.0.1127.0.0.1- 06/02/20 à 13:13:30

TLDR;

Votre recherche: 06000.00001, 060000.0002, 060000.0003, 060000.0004, 060000.0005, ...
Twitter: Rejected ! Vous être un pirate !!

Votre recherche: 060000.0005, 060000.0002, 060000.0004, 060000.0001, 060000.0003, ...
Twitter: Seems legit. Voila les identités: ____

Avatar de Celestelium Abonné
Avatar de CelesteliumCelestelium- 06/02/20 à 16:44:00

Dans un premier temps, je t'ai trouvé un peu dur.
Puis j'ai fini de lire l'article et j'avoue que c'est vraiment ridicule. x')

Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 06/02/20 à 20:57:26

secouss a écrit :

Un jour va falloir condamner les sociétés plutôt que parler de bug. être aussi bête c'est malhonnête...

T'es malade, ils vireraient des gens !

Avatar de fofo9012 Abonné
Avatar de fofo9012fofo9012- 07/02/20 à 07:58:22

Le plus scandaleux est que ce genre de société réclame un numéro de téléphone valide pour s'inscrire :
Ce genre de société bafoue ouvertement le RGPD !

C'est purement scandaleux et on les laisse faire en tout impunité !

Il n'est plus possible de commenter cette actualité.