Twitter a envoyé par erreur des messages privés à des développeurs

Le par  |  0 commentaire(s)
Twitter

Pendant plus d'un an, un bug affectant une API de Twitter a exposé des messages privés à des développeurs tiers.

Twitter informe qu'un bug apparu en mai 2017 a été découvert le 10 septembre 2018. Pendant plus d'un an, des messages privés ou tweets protégés ont ainsi pu être envoyés à des développeurs qui n'étaient pas censés être autorisés à les recevoir.

Twitter-panneSelon Twitter, le bug identifié tardivement et désormais corrigé a affecté moins de 1 % des utilisateurs. Sachant que Twitter revendique 335 millions d'utilisateurs actifs par mois au deuxième trimestre de cette année, ce petit 1 % est loin d'être négligeable.

Le problème a touché l'API Account Activity (AAAPI). Cette API d'activité de compte permet à des développeurs inscrits de créer des outils en rapport avec la communication des entreprises et leurs clients sur Twitter. De telles interactions ont pu être compromises.

" D'après notre analyse initiale, une série complexe de circonstances techniques a dû se produire en même temps pour que ce bug ait entraîné le partage définitif des informations de compte avec la mauvaise source ", écrit Twitter.

" Dans certains cas, cela peut avoir concerné certains messages privés ou tweets protégés, par exemple un message privé avec une compagnie aérienne ayant autorisé un développeur AAAPI. De même, si votre entreprise a autorisé un développeur utilisant l'AAAPI à accéder à votre compte, le bug peut avoir eu un impact sur vos données d'activité. "

Le bug a par exemple pu se produire avec des développeurs inscrits ayant une configuration AAAPI pour des domaines se rapportant à la même adresse IP publique, des chemins URL après le domaine ayant une correspondance exacte.

Le cas échéant, les comptes impactés sont prévenus et Twitter précise s'assurer que ses partenaires développeurs respectent leurs obligations pour la suppression des informations dont ils ne devraient pas disposer.

A priori, il n'y a pas eu d'exploitation malveillante. Twitter présente ses excuses… comme en mai dernier lorsqu'il avait été conseillé aux utilisateurs, par mesure de précaution, de changer de mot de passe suite à la découverte d'un bug ayant exposé des mots de passe en clair dans un log interne.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Suivre les commentaires
Poster un commentaire
Anonyme
Anonyme