Un chercheur en sécurité a pu utiliser un bogue dans l’application Twitter Android pour identifier des millions d’utilisateurs de Twitter, en connectant leurs numéros de téléphone à leurs identifiants Twitter. L’exploit pourrait exposer les défaillances du système d’authentification à deux facteurs de l’entreprise et donner une pause aux autres développeurs de sécurité.
Selon un rapport de TechCrunch, le chercheur, Ibrahim Balic, a créé des listes aléatoires de numéros de téléphone et les a envoyés à Twitter.
« Si vous téléchargez votre numéro de téléphone, il récupère les données des utilisateurs en retour », a-t-il déclaré.
Les données des utilisateurs ont permis à Balic de trouver les numéros de téléphone de nombreuses «célébrités» importantes de Twitter, y compris le numéro privé d’un «haut responsable politique israélien».
« En apprenant ce bogue, nous avons suspendu les comptes utilisés pour accéder de manière inappropriée aux informations personnelles des personnes. Protéger la confidentialité et la sécurité des personnes qui utilisent Twitter est notre priorité numéro un et nous restons concentrés sur l’arrêt rapide du spam et des abus provenant de l’utilisation des API de Twitter », a déclaré un porte-parole de Twitter.
Le bogue a exposé les comptes d’utilisateurs lorsque Balic a téléchargé des millions de numéros de téléphone et a demandé à Twitter de les faire correspondre avec les utilisateurs. En règle générale, cette interface est utilisée uniquement lorsque de nouveaux utilisateurs installent l’application sur leur téléphone, mais, à l’aide d’un ensemble d’appels API, Balic a pu usurper ce comportement. La violation de la vie privée qui en résulte – reliant essentiellement des nombres réels à de véritables poignées Twitter – pourrait réduire l’efficacité des schémas d’authentification à deux facteurs populaires sur les applications financières et les portefeuilles.