Pendant la période de Noël dernier, Twitter informe avoir identifié et suspendu un vaste réseau de faux comptes utilisé par une personne afin d'exploiter son API et associer des noms d'utilisateur à des numéros de téléphone.
Un incident qui fait écho à un article de TechCrunch fin 2019 sur l'exploitation d'une faille dans l'application Twitter pour Android par un chercheur en sécurité.
Dans le cadre de son enquête, Twitter précise avoir découvert d'autres comptes ayant également pu exploiter son API de manière abusive. Autrement dit, une exploitation qui a débordé le cadre du seul chercheur en sécurité.
We recently discovered an issue that allowed bad actors to match a specific phone number with the corresponding accounts on Twitter. We quickly corrected this issue and are sorry this happened. You can learn more about our investigation here: https://t.co/Z6Q4geQ8jo
— Twitter Support (@TwitterSupport) February 3, 2020
Le service de microblogging laisse entendre une action par des individus soutenus par un État et souligne un volume particulièrement élevé de requêtes d'adresses IP individuelles localisées en Iran, Israël et en Malaisie.
Pour le recueil de données, les faux comptes ont saisi un numéro de téléphone et ont reçu en réponse le nom de l'utilisateur de Twitter correspondant. Une opération qui a été menée massivement au niveau des numéros de téléphone soumis, ce qui constitue bien évidemment un abus de la fonctionnalité proposée par Twitter.
En l'occurrence, cette vulnérabilité n'a pu toucher que les utilisateurs ayant activé l'option permettant à d'autres de les retrouver grâce à leur numéro de téléphone trouvé sur Twitter (et avec un numéro associé à leur compte). Une option que l'on retrouve dans les paramètre de détectabilité.
Twitter ne précise pas combien de numéros de téléphone ont été exposés, mais a apporté des modifications pour éviter un tel abus à l'avenir.