Ibrahim Balic est devenu un nom dont Twitter se souviendra certainement. Le chercheur a découvert une faille dans une application Twitter Android qui lui a permis de faire correspondre 17 millions de numéros de téléphone, quand il les a téléchargés, avec des comptes.

Il faisait ça depuis deux mois, lesdits rapports, avant que Twitter ne le bloque le 20 décembre.

De tels matchs ont été faits en Israël, Turquie, L'Iran, Grèce, Arménie et Allemagne. Certains des comptes étaient des représentants du gouvernement, lesdits rapports.

Comment Balic a-t-il fait ? Il a téléchargé une liste de numéros de téléphone générés via la fonction de téléchargement de contacts de Twitter, mentionné TechCrunch .

Zack Whittaker, éditeur de sécurité, à TechCrunch , avait l'histoire très citée de l'exploit du numéro de téléphone du chercheur. Spécifiquement, a écrit Whittaker, Balic "a généré plus de deux milliards de numéros de téléphone, l'un après l'autre, puis randomisé les nombres, et les a téléchargés sur Twitter via l'application Android. (Balic a déclaré que le bogue n'existait pas dans la fonction de téléchargement Web.)"

Bill Toulas dans TechNadu a également souligné que Twitter avait mis en place un blocage empêchant le téléchargement de listes de numéros dans un format séquentiel, anticipant que des abus étaient possibles, mais le téléchargement de "listes gigantesques" via l'application Android était "toujours parfaitement faisable".

TechCrunch , En réalité, voulait voir par lui-même si l'expérience de Balic pouvait leur servir aussi. Whittaker a rapporté les résultats internes. "En utilisant la fonction de réinitialisation du mot de passe du site, nous avons vérifié ses conclusions en comparant une sélection aléatoire de noms d'utilisateur avec les numéros de téléphone fournis. Dans un cas, TechCrunch a pu identifier un haut responsable politique israélien en utilisant son numéro de téléphone correspondant. »

Ce ne serait pas la première fois que les observateurs de sécurité entendraient parler de Balic, qui était auparavant connu pour avoir identifié une faille de sécurité en 2013 affectant le centre de développement d'Apple.

Stacy Liberatore dans le Courrier quotidien a déclaré que "Bien que Balic n'ait pas alerté Twitter du bogue, il a pris sur lui d'en informer les utilisateurs de haut niveau via WhatsApp.

Jon Fingas dans Engagé , pendant ce temps, a rapporté que le porte-parole de la société, Aly Pavela, a déclaré que la société enquêtait sur le bogue. "Il a bloqué l'activité en suspendant les comptes utilisés pour obtenir des informations sur les gens, " a déclaré Fingas.

Il a montré la déclaration de Twitter en réponse :

"Nous prenons ces rapports au sérieux et enquêtons activement pour nous assurer que ce bogue ne peut plus être exploité. Lorsque nous avons appris l'existence de ce bogue, nous avons suspendu les comptes utilisés pour accéder de manière inappropriée aux informations personnelles des personnes. La protection de la vie privée et de la sécurité des personnes qui utilisent Twitter est notre priorité numéro un et nous restons concentrés sur l'arrêt rapide du spam et des abus provenant de l'utilisation des API de Twitter. "

Toulas, TechNadu , a rendu compte de l'état des choses mercredi. "Comme l'a déclaré un porte-parole de la plateforme, ils vont maintenant s'occuper des lacunes de l'API qui permettent ce genre d'abus."

Pendant ce temps, les nouvelles des match-ups ont suscité des réactions de lecteurs dans Engagé qui sont aussi informatifs. Ils montrent que tout le monde ne réagit pas de la même manière aux gros titres sur les violations de données et les révélations de contacts. Les réactions couvrent toute une gamme de celles durcies par tout cela, mais dites que si vous n'avez rien à cacher, détendez-vous, votre numéro de téléphone n'est pas la fin du monde, à ceux qui disent non, c'est vraiment un gros problème, à l'ère numérique.

Un échantillon parmi les dégoûtés :"Ugh, ne faites jamais confiance à ces entreprises avec votre numéro/" et un autre, "Je ne suis pas assez stupide pour inclure mon numéro de téléphone avec un site Web de réseautage social. Tout site qui nécessite un numéro de téléphone pour la création de compte ne vaut pas mon temps."

Commentaire de No-Big-Deal :"Ça a l'air vraiment horrible... oh oui, rappelez-vous pendant des décennies quand nous avions ces choses folles appelées annuaires téléphoniques qui contenaient non seulement votre numéro de téléphone mais aussi l'adresse de votre domicile ? L'horreur."

Contre-commentaire :"Il ne s'agit pas d'informations par personne, mais comment l'information peut être utilisée de manière abusive à travers des centaines, des milliers et des millions de personnes dans le monde rapidement et à moindre coût."

© 2019 Réseau Science X