Un bug dans Twitter sur Android associe numéros de téléphone et comptes

Un chercheur en sécurité à réussi à associer 17 millions de numéros de téléphone avec des comptes d'utilisateurs de Twitter. Il s'est servi d'une faille dans l'application Android du média social.

L’application Twitter sur Android était un peu trop communicante. Un spécialiste de la cybersécurité, Ibrahim Balic, a en effet réussi à télécharger des listes de numéros de téléphone grâce à la fonction téléchargement des contacts sur Twitter. Pas moins de 2 milliards de numéros de téléphone ont ainsi été récupérés (le réseau social compte environ 330 millions d'utilisateurs mensuels, selon Statista). Le hacker a ensuite associé les numéros à des comptes utilisateurs, pour finalement obtenir 17 millions de correspondances. Pendant deux mois, ses efforts lui ont permis d’obtenir des renseignements sur des personnes en Israël, Turquie, Iran, Grèce, Arménie, France et Allemagne. Un travail stoppé net par Twitter le 20 décembre dernier.

Le chercheur a procuré un échantillon des numéros de téléphone à TechCrunch. Après analyse, le média en ligne a été capable d’identifier un politicien israélien de haut rang avec le numéro de téléphone correspondant.

Ibrahim Balic n’a pas alerté Twitter de sa découverte, mais il a créé un compte WhatsApp pour avertir directement les utilisateurs concernés, dont des politiciens et des fonctionnaires. Le média social a rapidement réagi en indiquant qu’en « apprenant ce bug, nous avons suspendu les comptes utilisés pour accéder de manière inappropriée aux informations personnelles. La protection de la vie privée de nos utilisateurs est notre priorité numéro un et nous restons attentifs sur l’arrêt rapide des spams et des abus provenant de l’utilisation des API de Twitter ».