Twitter a cette semaine révélé qu’il a récemment détecté une faille de sécurité potentielle dans ses systèmes de correspondance de comptes qui pourrait avoir exposé les informations d’identification personnelle des personnes via l’application.
Comme expliqué par Twitter:
« Le 24 décembre 2019, nous avons appris que quelqu’un utilisait un vaste réseau de faux comptes pour exploiter notre API et faire correspondre les noms d’utilisateur aux numéros de téléphone. Nous avons immédiatement suspendu ces comptes et divulguer les détails de notre enquête, car nous pensons qu’il est important que vous êtes au courant de ce qui s’est passé et de la manière dont nous l’avons résolu. «
Lorsque vous vous inscrivez pour la première fois à un compte Twitter, Twitter offre une option dans laquelle vous pouvez faire correspondre vos contacts téléphoniques et e-mails existants avec la base de données de Twitter, afin de trouver des personnes que vous connaissez peut-être déjà sur la plate-forme – vous pouvez mettre à jour cela sur à tout moment en accédant à: «Paramètres et confidentialité»> «Confidentialité et sécurité»> «Découvrabilité et contacts»

Ces deux options sont actives par défaut, permettant aux personnes disposant de votre numéro de téléphone (ou de celui associé à votre compte) de trouver votre profil Twitter – c’est-à-dire, idéalement, les personnes que vous connaissez dans la vraie vie. Appuyez sur « Gérer les contacts » en bas et vous pouvez actualiser votre liste de contacts à tout moment, afin de trouver les profils de toute personne répertoriée dans vos contacts de messagerie et de téléphone.
La fonctionnalité est pratique pour établir vos connexions à partir de zéro, mais comme Twitter a maintenant trouvé, les pirates peuvent également l’utiliser pour collecter des données personnelles.
« Nous avons identifié des comptes situés dans un large éventail de pays se livrant à ces comportements, [including] un volume particulièrement élevé de demandes provenant d’adresses IP individuelles situées en Iran, en Israël et en Malaisie. Il est possible que certaines de ces adresses IP aient des liens avec des acteurs parrainés par l’État. Nous divulguons cela par prudence et par principe. «
Théoriquement, grâce à ce processus, les escrocs pourraient obtenir votre nom et votre numéro de téléphone, qu’ils pourraient ensuite utiliser pour vous faire chanter avec des informations publiées via votre compte Twitter, ou duper les personnes moins technophiles avec des informations personnelles qu’ils glanent à partir de votre profil. À titre d’exemple de base, quelqu’un pourrait vous appeler le jour de votre anniversaire, comme indiqué sur votre profil Twitter, et vous proposer une offre, qui peut sembler plus crédible car elle connaît la bonne date.
Et comme l’a noté TechCrunch, de nombreuses personnes utilisant également leur numéro de téléphone pour l’authentification à deux facteurs, cela pourrait également leur permettre, potentiellement, d’accéder à votre compte.
Twitter dit qu’il a maintenant apporté des modifications à son système afin qu’il ne puisse plus renvoyer des noms de compte spécifiques en réponse aux requêtes.
« De plus, nous avons suspendu tout compte qui, selon nous, exploitait ce point de terminaison. »
La fonctionnalité existe donc toujours, mais Twitter limite sa capacité à empêcher les fraudeurs de l’utiliser à cette fin. On ne sait pas combien de comptes ont été potentiellement exposés via cette violation potentielle.
Ceux qui n’ont pas activé le paramètre de recherche de numéro de téléphone ne sont pas à risque, et Twitter a fourni un formulaire pour ceux qui ont d’autres préoccupations. Mais il peut être intéressant de noter que les escrocs pourraient, potentiellement, avoir votre nom et votre numéro de téléphone, et pourraient utiliser les détails de votre compte Twitter correspondant à des fins néfastes.