Ibrahim Balic, un chercheur en sécurité, a déniché un bug dans l’application Android de Twitter. Il permettait de faire correspondre 17 millions de numéros de téléphone avec les comptes qui disposaient de cette information. Il était ainsi possible de savoir à qui appartenait chaque numéro de téléphone.
Le chercheur explique avoir été en mesure d’envoyer sur Twitter des listes avec deux milliards de numéros de téléphone générés au hasard. Il a ainsi pu connaître l’identité de 17 millions de comptes puisque 17 millions de numéros de téléphone existaient bel et bien. « Si vous chargez votre numéro de téléphone, Twitter récupère les données de l’utilisateur en retour », indique Ibrahim Balic.
Les données obtenues concernent des utilisateurs en France, en Israël, en Turquie, en Iran, en Grèce, en Arménie et en Allemagne. TechCrunch explique avoir notamment été en mesure de faire correspondre un numéro de téléphone avec un compte appartenant à un politique israélien.
Twitter a bloqué la méthode le 20 décembre, mais celle-ci n’est détaillée que cette semaine. « En apprenant ce bug, nous avons suspendu les comptes utilisés pour accéder de façon inappropriée aux renseignements personnels des gens », a réagi Twitter. « La protection de la vie privée et de la sécurité des personnes qui utilisent Twitter est notre priorité numéro un et nous restons concentrés sur l’arrêt rapide des spams et des abus provenant de l’utilisation des API de Twitter », ajoute le réseau social. Il s’agit en tout cas d’une deuxième faille concernant l’application Android. La première, dévoilée plus tôt cette semaine, permettait de prendre le contrôle d’un compte.
