Selon Twitter, la vulnérabilité résidait dans l'une des API qui a été conçue pour rendre plus facile pour les utilisateurs de trouver des personnes qu'ils peuvent déjà connaître sur Twitter en faisant correspondre les numéros de téléphone enregistrés dans leurs contacts avec des comptes Twitter.
Notons que la fonctionnalité a fonctionné précisément comme prévu, sauf que quelqu'un qui n'était pas censé le faire a téléchargé des millions de numéros de téléphone générés au hasard et abusé de Twitter pour révéler les profils associés aux informations de contact des utilisateurs ajoutées à Twitter pour activer la sécurité des fonctionnalités.
Bien que la société ne soit pas sûre si le bug a été exploité par un seul pirate ou plusieurs groupes, elle a identifié plusieurs comptes engagés dans l'attaque, situés dans un large éventail de pays, principalement de l'Iran, Israel, et la Malaisie.
Sur la base de leurs adresses IP, Twitter estime que certains des comptes qui ont exploité la faille de l'API peuvent avoir des liens avec des acteurs parrainés par l'État.
Par conséquent, il « divulgue cet [incident] avec beaucoup de prudence et par principe ».
Twitter déclare dans son post officiel :
Nous avons immédiatement suspendu ces comptes et nous vous divulguons les détails de notre enquête aujourd'hui parce que nous croyons qu'il est important que vous soyez au courant de ce qui s'est passé, et comment nous l'avons réparé.
(Cliquez sur l'image pour l'agrandir)
La société a pris connaissance du problème le 24 Décembre 2019 après qu’un chercheur en sécurité «contraire à l'éthique» a exploité une échappatoire similaire, ou la même, dans Twitter pour faire correspondre avec succès près de 17 millions de numéros de téléphone à leurs profils.
Twitter dit que le site du réseau social a depuis lors abordé la question et il n'y a aucune action requise du côté des utilisateurs.
Après notre enquête, nous avons immédiatement apporté un certain nombre de modifications à ce critère d'évaluation afin qu'il ne puisse plus retourner les noms de compte spécifiques en réponse aux questions.
Toutefois, si vous n'êtes pas au courant, vous pouvez également empêcher quiconque de trouver votre profil en fonction de votre adresse e-mail ou numéro de téléphone en naviguant vers
Bouton “Plus” (sur le Web) -> Paramètres et confidentialité -> Confidentialité et sécurité -> Détectabilité et contacts -> Détectabilité
