Twitter informe qu'un bug apparu en mai 2017 a été découvert le 10 septembre 2018. Pendant plus d'un an, des messages privés ou tweets protégés ont ainsi pu être envoyés à des développeurs qui n'étaient pas censés être autorisés à les recevoir.
Le problème a touché l'API Account Activity (AAAPI). Cette API d'activité de compte permet à des développeurs inscrits de créer des outils en rapport avec la communication des entreprises et leurs clients sur Twitter. De telles interactions ont pu être compromises.
" D'après notre analyse initiale, une série complexe de circonstances techniques a dû se produire en même temps pour que ce bug ait entraîné le partage définitif des informations de compte avec la mauvaise source ", écrit Twitter.
" Dans certains cas, cela peut avoir concerné certains messages privés ou tweets protégés, par exemple un message privé avec une compagnie aérienne ayant autorisé un développeur AAAPI. De même, si votre entreprise a autorisé un développeur utilisant l'AAAPI à accéder à votre compte, le bug peut avoir eu un impact sur vos données d'activité. "
Le bug a par exemple pu se produire avec des développeurs inscrits ayant une configuration AAAPI pour des domaines se rapportant à la même adresse IP publique, des chemins URL après le domaine ayant une correspondance exacte.
Le cas échéant, les comptes impactés sont prévenus et Twitter précise s'assurer que ses partenaires développeurs respectent leurs obligations pour la suppression des informations dont ils ne devraient pas disposer.
A priori, il n'y a pas eu d'exploitation malveillante. Twitter présente ses excuses… comme en mai dernier lorsqu'il avait été conseillé aux utilisateurs, par mesure de précaution, de changer de mot de passe suite à la découverte d'un bug ayant exposé des mots de passe en clair dans un log interne.
