Twitter souffre d’une vulnérabilité permettant à une autre application qui y est liée d’envoyer des messages privés alors qu’elle n’en n’a pas l’autorisation. Le réseau social considère qu’il s’agit d’une fonction normale et non d’une faille.
Egor Homakov, un chercheur en sécurité informatique a découvert une vulnérabilité concernant l’application Twitter. Elle permettrait à certaines applications d’envoyer des messages privés à partir du compte d’un utilisateur sans lui en demander l’autorisation. Il faut rappeler qu’habituellement, les applications qui se « connectent » à Twitter demandent la permission d’accéder aux contenus du compte. Souvent, elles n’incluent pas le module des messages privés dans leurs requêtes. Toutefois, une fois qu’une application est liée à Twitter, elle n’aurait même pas besoin de cet accord pour y accéder.
Thenextweb qui a pu tester et confirmer l’existence de cette vulnérabilité, prend l’exemple de Twipic. Lorsque vous lui conférez certaines autorisations, l’application ne demande pas d’accéder à vos messages privés. Malgré tout, en utilisant la commande dtwitter_username message, elle peut envoyer autant de messages privés qu’elle le souhaite aux abonnés du compte Twitter. Si elle est employée par certaines applications, la vulnérabilité pourrait servir à s’assurer leur promotion en envoyant des messages privés à partir du compte de l’utilisateur sans qu’il le sache.
Déjà au courant du problème, Twitter a expliqué qu’il s’agit d’une fonction normale du réseau social et non d’une vulnérabilité.