Une faille dans le code de Twitter a permis aux acteurs de la menace de lier les comptes aux adresses e-mail enregistrées contre eux, exposant potentiellement les identités (s’ouvre dans un nouvel onglet) de leurs opérateurs, a confirmé le réseau social.
À la fin de la semaine dernière, la société a révélé la faille dans un article de blog (s’ouvre dans un nouvel onglet)dans laquelle il s’est excusé pour la gêne occasionnée et a expliqué que le problème avait été résolu dès sa découverte.
L’exploit a profité de la façon dont Twitter a traité les tentatives de connexion infructueuses. Lorsque quelqu’un essayait de se connecter en utilisant une adresse e-mail ou un numéro de téléphone, même s’il tapait le mauvais mot de passe, Twitter faisait deux choses :
- Dites à l’utilisateur qu’il a soumis le mauvais mot de passe
- Afficher le pseudo Twitter associé à cette adresse e-mail ou à ce numéro de téléphone (le cas échéant)
Cela signifiait que les personnes qui géraient des comptes pseudonymes auraient pu voir leur identité exposée.
Vendre des données sur le dark web
La faille a été repérée pour la première fois à la mi-2021. À l’époque, Twitter a déclaré qu’il ne pouvait trouver aucune preuve d’abus. « Ce bogue résulte d’une mise à jour de notre code en juin 2021 », a écrit la société.
Un an plus tard, Twitter a appris par un article de presse que quelqu’un avait en fait compilé une liste de comptes d’utilisateurs avec cette méthode et avait essayé de la vendre.
Twitter s’est excusé pour la gêne occasionnée, a déclaré avoir résolu le problème dès qu’il a été dévoilé et a déclaré qu’il informerait directement les propriétaires de compte touchés par ce problème.
« Nous publions cette mise à jour car nous ne sommes pas en mesure de confirmer tous les comptes potentiellement impactés et sommes particulièrement attentifs aux personnes ayant des comptes pseudonymes qui peuvent être ciblées par l’État ou d’autres acteurs », a ajouté la société.
La plate-forme de microblogging a beaucoup attiré l’attention ces derniers temps, depuis que le milliardaire excentrique Elon Musk a déclaré qu’il avait l’intention de l’acquérir. L’avenir de l’accord sera désormais décidé à la Delaware Chancery Court, après que Musk ait tenté de se retirer, apparemment en raison du volume de bots opérant sur la plate-forme.