Un chercheur en sécurité turc a déclaré: Il a découvert une lacune dans l’application du site de réseautage social Twitter sur Android, ce qui lui a permis de faire correspondre 17 millions de numéros de téléphone avec les comptes d’utilisateurs du service.
Ibrahim Balic a constaté que l’écart dans la fonction de téléchargement Twitter de l’application permettait le téléchargement de listes complètes de numéros de téléphone créées par la fonction. « Si vous portez votre numéro de téléphone, cela vous apportera des données d’utilisateur en retour », a déclaré le chercheur à TechCrunch.
Balic a déclaré: La fonction Contacts Twitter n’accepte pas les listes de numéros de téléphone au format série, et il est probable que cela vise à empêcher ce type de correspondance. Au lieu de cela, Balic a créé plus de deux milliards de numéros de téléphone, un par un, puis distribué au hasard les numéros, puis les télécharger sur Twitter en les appliquant à Android. Le chercheur a confirmé qu’il n’y avait pas de lacune dans la fonctionnalité de téléchargement des contacts sur le Web.
Pendant deux mois, Balic a déclaré: Il correspondait aux enregistrements d’utilisateurs dans un certain nombre de pays, notamment en Israël, en Turquie, en Iran, en Grèce, en Arménie, en France et en Allemagne, mais il s’est arrêté après que Twitter ait perturbé son activité le 20 décembre.
Balic a fourni à TechCrunch un échantillon des numéros de téléphone auxquels il correspondait. En effet, le site a pu identifier un politicien israélien à l’aide du numéro de téléphone correspondant. Balic n’a pas averti Twitter de la vulnérabilité, mais il a pu connaître le nombre d’un grand nombre d’utilisateurs de Twitter, y compris des politiciens et des fonctionnaires, et les a ajoutés au groupe WhatsApp pour les avertir directement de la vulnérabilité.
La détection de Balic survient quelques jours après l’annonce par Twitter d’une vulnérabilité qui pourrait permettre à de mauvais acteurs de voir des informations de compte privé ou de contrôler des comptes, tels que des tweets, des messages directs et des informations de site.
Il convient également de noter que le chercheur turc Balic avait précédemment découvert une vulnérabilité de sécurité dans le centre de développement d’Apple en 2013.
Source : Techcrunch