Twitter dit avoir découvert des tentatives de pirates informatiques potentiels pour accéder aux numéros de téléphone des titulaires de compte.
La violation a été révélée après qu’un chercheur en sécurité a trouvé une faille dans la fonctionnalité de téléchargement des contacts.
La société a refusé de dire combien de numéros de téléphone d’utilisateurs avaient été révélés, affirmant que Twitter n’était pas en mesure d’identifier tous les comptes susceptibles d’avoir été touchés.
Dans une déclaration publiée sur son blog sur la confidentialité, Twitter a déclaré avoir identifié un « volume élevé de demandes » pour utiliser la fonctionnalité provenant d’adresses IP en Iran, en Israël et en Malaisie.
Une porte-parole de la société a déclaré que Twitter soupçonnait une connexion possible avec des acteurs soutenus par l’État parce que les attaquants en Iran semblaient avoir eu un accès illimité à Twitter, même si le réseau y est interdit.
Selon un article de décembre dans la publication technologique TechCrunch, un chercheur en sécurité, Ibrahim Balic, avait réussi à faire correspondre 17 millions de numéros de téléphone à des comptes d’utilisateurs Twitter spécifiques en exploitant une faille dans la fonction de contacts de l’application Android de Twitter.
La fonction de «téléchargement de contacts» permet aux personnes possédant le numéro de téléphone d’un utilisateur de trouver et de se connecter avec cet utilisateur sur Twitter.
Il est désactivé par défaut pour les utilisateurs de l’Union européenne où des règles de confidentialité strictes sont en place. Il est activé par défaut pour le reste du monde.
Twitter a déclaré dans sa déclaration qu’il avait modifié la fonctionnalité afin qu’il ne révèle plus de noms de compte spécifiques en réponse aux demandes. Il a également suspendu tout compte qui aurait abusé de l’outil.
Cependant, la société n’envoie pas de notifications individuelles aux utilisateurs dont les numéros de téléphone ont été consultés dans la fuite de données.
