Posté le décembre 26, 2019 à 20:00
17 MILLIONS D’UTILISATEURS ET LEURS NUMÉROS DE TÉLÉPHONE MENACÉS À CAUSE DE LA VULNÉRABILITÉ DE TWITTER
Twitter est de nouveau ciblé, car certains hackers ont récemment exploité une vulnérabilité qui a permis de faire correspondre plus de 17 millions de numéros de téléphone avec leurs utilisateurs. Avec ce développement récent, il ne semble pas qu’il y aura une fin à la vulnérabilité de Twitter et aux problèmes de bugs.
Suite à la précédente découverte du bug dans l’application il y a six jours, Twitter a demandé à ses utilisateurs de mettre à jour leur application dès que possible.
La vulnérabilité a donné accès à des informations privées aux hackers. Elle permettait même aux hackers de contrôler certains aspects des comptes des utilisateurs pour envoyer des messages directs et des tweets.
Maintenant, il y a une deuxième attaque qui a affecté des millions de comptes d’utilisateurs et de numéros de téléphone. Cette fois-ci, les chercheurs en sécurité ont découvert que les comptes de 17 millions d’utilisateurs de Twitter ont été exposés car les hackers ont pu faire correspondre leurs comptes avec leurs numéros de téléphone.
Comment la vulnérabilité a été découverte
Ibrahim Balic, un chercheur en sécurité, a mentionné plus tôt que la fonction de téléchargement des contacts Twitter permettait d’ajouter la liste complète des numéros de téléphone sur l’application Twitter. Il a indiqué qu’une fois que l’utilisateur écrit son numéro de téléphone, l’application produit automatiquement des données d’utilisateur pour ce numéro de téléphone.
Selon Balic, la fonction de téléchargement de contacts de Twitter empêche l’inscription de numéros de téléphone en séquence. Il s’agit d’une vérification de sécurité pour empêcher la correspondance entre les contacts et les numéros de téléphone. Pour prouver ses découvertes, il a décidé de télécharger les numéros de téléphone générés au hasard sur l’application de Twitter.
Selon le rapport, le chercheur a obtenu des enregistrements de numéros de téléphone d’utilisateurs en Allemagne, en France, en Arménie, en Grèce, en Iran, en Turquie, ainsi qu’en Israël. Il a essayé de faire correspondre ces numéros de téléphone à leurs comptes respectifs. Il a fait correspondre deux numéros de téléphone pendant environ deux mois avant que Twitter ne l’empêche de continuer ce mois-ci.
Balic a également donné des échantillons des numéros de téléphone qu’il a pu faire correspondre pour confirmation. Twitter a également vérifié son rapport en recoupant les numéros de téléphone avec la sélection aléatoire de noms d’utilisateur fournis par le chercheur. Il s’est avéré que le chercheur avait raison.
La vulnérabilité existe uniquement sur l’application Android
Le chercheur en sécurité a souligné que ceux qui utilisent d’autres canaux que l’Android pour accéder à Twitter ne sont pas touchés. Il a déclaré que la vulnérabilité n’affecte pas la fonction de Twitter sur le Web, mais seulement la fonctionnalité Android.
Cependant, Balic n’a pas informé Twitter de ses conclusions. Au contraire, il a signalé les vulnérabilités et ses conclusions à certains des principaux utilisateurs de Twitter en les avertissant personnellement via un groupe WhatsApp. Parmi ces utilisateurs, on trouve des hauts fonctionnaires et des politiciens.
Balic a été impliqué dans la découverte de nombreuses vulnérabilités. Il a été un chercheur en sécurité très occupé, car il avait découvert une certaine vulnérabilité dans le passé qui a contribué à réduire les activités des hackers.
En 2013, Balic a été chargé d’identifier la grande vulnérabilité qui a affecté le centre de développement d’Apple.
La vulnérabilité récemment corrigée ne présente aucun lien
La vulnérabilité actuelle que Balic a découverte n’aurait pas de lien avec la récente vulnérabilité de l’application Twitter, qui a donné aux hackers le contrôle sur les messages directs et les tweets. Cependant, les journalistes ont déjà alerté un porte-parole de Twitter, qui leur a dit que la société travaillait à la correction du bug. Twitter a dit qu’il travaillait pour s’assurer que les hackers n’exploitent pas les vulnérabilités à nouveau.
La réaction de Twitter
Le porte-parole de Twitter a déclaré que l’entreprise a déjà suspendu les comptes que le hacker a utilisés pour accéder illégalement aux renseignements personnels des utilisateurs. Il a déclaré que la principale priorité de Twitter est de protéger la sécurité et la vie privée de ses utilisateurs. Il a réitéré la volonté de l’entreprise de mettre fin à tout abus ou spam découlant de l’utilisation de l’application Twitter.
Plusieurs failles de sécurité pour Twitter cette année
En ce qui concerne les failles de sécurité, cette année n’a pas été particulièrement favorable à Twitter. Au début du mois de mai, Twitter a été accusé d’avoir partagé l’emplacement d’un utilisateur avec son partenaire sans le consentement de l’utilisateur concerné. En août, l’entreprise a également admis avoir fourni des informations plus détaillées à ses partenaires publicitaires, ce qui est contraire à la pratique de l’entreprise.
Twitter a déclaré qu’elle utilisait la fonction d’authentification à deux facteurs pour récupérer les numéros de téléphone des utilisateurs pour les annonces ciblées. La communauté Twitter compte sur l’entreprise pour corriger ces séries d’infractions afin d’éviter qu’elles ne se reproduisent à l’avenir.