Chercheur en sécurité, Ibrahim Balic a pu associer 17 millions de numéros de téléphone à des comptes d'utilisateurs de Twitter en exploitant une faille dans l'application du réseau social et service de microblogging pour Android.
Sur une période de deux mois, il a indiqué être parvenu à des associations pour des utilisateurs en Allemagne, Arménie, Grèce, Iran, Israël, Turquie, ainsi qu'en France. Ses dires ont pu être vérifiés par TechCrunch avec la fourniture d'un échantillon.
TechCrunch explique que Ibrahim Balic a généré plus de deux milliards de numéros de téléphone. Dans un ordre aléatoire pour se jouer des mesures de protection de la fonctionnalité d'importation des contacts, il a été en mesure de les transférer (upload) via l'application Twitter pour Android.
En retour, il a obtenu les données des utilisateurs correspondants. Le chercheur, qui aurait utilisé des centaines de faux comptes pour mener à bien son opération, n'a pas prévenu Twitter de la vulnérabilité. Il a par contre directement alerté certains utilisateurs par l'entremise d'un groupe WhatsApp.
Un porte-parole de Twitter a indiqué que " les comptes utilisés pour accéder de manière inappropriée aux renseignements personnels d'utilisateurs " ont été suspendus. " La protection de la vie privée et la sécurité des personnes qui utilisent Twitter est notre priorité numéro un et nous restons concentrés sur l'arrêt rapide du spam et des abus provenant de l'utilisation des API de Twitter. "
Twitter avait déjà diffusé une alerte de sécurité au sujet d'une vulnérabilité de sécurité corrigée qui avait touché son application pour Android. Elle est a priori sans rapport avec la découverte de Ibrahim Balic.
