Si vous avez un compte Twitter secret, nous avons de mauvaises nouvelles pour vous.
Vendredi, Twitter a divulgué des informations sur une faille de sécurité qui permettait à quelqu’un de savoir si une adresse e-mail ou un numéro de téléphone particulier était associé à un compte Twitter existant.
« En janvier 2022, nous avons reçu un rapport d’une vulnérabilité dans les systèmes de Twitter via notre programme de primes de bogues. En raison de cette vulnérabilité, si quelqu’un soumettait une adresse e-mail ou un numéro de téléphone au système de Twitter, le système de Twitter notifierait l’adresse e-mail ou le numéro de téléphone. de la personne qui a soumis le compte Twitter auquel il était associé, le cas échéant », a écrit la société dans un communiqué article de blog du vendredi.
Cela signifie que si vous avez l’adresse e-mail ou le numéro de téléphone de quelqu’un, vous pouvez facilement savoir si un compte Twitter est associé à cette adresse ou à ce numéro. Disons que vous avez l’adresse d’Elon Musk et vérifiez cela et réalisez que son compte est différent de celui dont il tweete habituellement – boum, vous venez de trouver son compte secret. Pas génial pour ceux qui veulent tweeter de manière anonyme et/ou privée.
VOIR AUSSI : Twitter a piraté plus de DM qu’on ne le savait auparavant
La vulnérabilité était le résultat d’une mise à jour du code de juin 2021 par Twitter, qui, selon Twitter, avait été étudiée et corrigée « immédiatement ». À l’époque, Twitter a déclaré qu’il n’y avait aucune preuve que quiconque ait exploité la vulnérabilité.
Cependant, la fenêtre de sept mois pendant laquelle l’exploit était « actif » semble être suffisamment longue pour que quelqu’un le découvre et essaie d’en tirer profit. Twitter a déclaré qu’en juillet 2022, il « avait appris par des reportages » que quelqu’un avait collecté les informations et tenté de les vendre en ligne. Twitter a examiné les échantillons de données et s’est rendu compte que la personne vendait effectivement la vraie chose.
Le reportage auquel Twitter fait référence provient probablement de Bleeping Computer, qui a écrit qu’un pirate vendait des données relatives à 5,4 millions d’utilisateurs de Twitter en ligne pour 30 000 $.
Twitter a déclaré qu’il informerait directement les propriétaires de comptes concernés. Si vous êtes l’un d’entre eux, vous ne pouvez pas faire grand-chose pour le moment à part ne pas utiliser un numéro de téléphone ou une adresse e-mail connus la prochaine fois que vous créerez un compte secret.