Twitter révèle qu’il ne déconnectait pas les utilisateurs des comptes après la réinitialisation du mot de passe • ​​TechCrunch

Quelques semaines après que l’ancien chef de la sécurité de Twitter a accusé l’entreprise de mauvaise gestion de la cybersécurité, Twitter a maintenant informé ses utilisateurs d’un bogue qui ne fermait pas toutes les sessions de connexion actives d’un utilisateur sur Android et iOS après la réinitialisation du mot de passe d’un compte. Ce problème pourrait avoir des implications pour ceux qui avaient réinitialisé leur mot de passe parce qu’ils pensaient que leur compte Twitter pouvait être en danger, peut-être à cause d’un appareil perdu ou volé, par exemple.

En supposant que quiconque était en possession de l’appareil puisse accéder à ses applications, il aurait eu un accès complet au compte Twitter de l’utilisateur concerné.

Dans un article de blog, Twitter explique avoir pris connaissance du bug qui avait permis à “certains” comptes de rester connectés sur plusieurs appareils après qu’un utilisateur ait volontairement réinitialisé son mot de passe.

En règle générale, lorsqu’une réinitialisation de mot de passe se produit, le jeton de session qui maintient un utilisateur connecté à l’application est également révoqué, mais cela n’a pas eu lieu sur les appareils mobiles, indique Twitter. Les sessions Web, cependant, n’ont pas été affectées et ont été fermées de manière appropriée, a-t-il noté.

Twitter explique que le bogue est survenu après une modification apportée l’année dernière aux systèmes qui alimentaient ses réinitialisations de mot de passe, ce qui signifie que le bogue existe depuis plusieurs mois sans être détecté. Pour résoudre le problème, Twitter a maintenant directement informé les utilisateurs concernés, les a déconnectés de manière proactive de leurs sessions ouvertes sur tous les appareils et les a incités à se reconnecter. Cependant, la société n’a pas précisé le nombre de personnes touchées.

“Nous prenons très au sérieux notre responsabilité de protéger votre vie privée et il est regrettable que cela se soit produit”, a écrit Twitter dans son annonce, où il a également encouragé les utilisateurs à revoir leurs sessions ouvertes actives régulièrement depuis les paramètres de l’application.

Le problème est le dernier d’une longue série d’incidents de sécurité dans l’entreprise ces dernières années, bien qu’il ne soit pas aussi grave que certains dans le passé – comme le bogue signalé le mois dernier qui avait exposé au moins 5,4 millions de comptes Twitter. Dans cette affaire, une faille de sécurité avait permis aux acteurs de la menace de compiler des informations sur les comptes des utilisateurs de Twitter, qui étaient ensuite mis en vente sur un forum de cybercriminalité.

En mai dernier, Twitter a également été contraint de payer 150 millions de dollars dans le cadre d’un règlement avec la Federal Trade Commission pour avoir utilisé les informations personnelles fournies par les utilisateurs pour sécuriser leurs comptes, comme les e-mails et les numéros de téléphone, à des fins de ciblage publicitaire. Et en 2019, Twitter a révélé un bogue qui avait partagé les données de localisation de certains utilisateurs avec des partenaires et un autre qui a également conduit au partage des données des utilisateurs avec des partenaires. De plus, il a été confronté à un problème où un chercheur en sécurité avait utilisé une faille dans l’application Android pour faire correspondre 17 millions de numéros de téléphone avec des comptes d’utilisateurs Twitter.

Bien qu’il soit utile que Twitter soit transparent sur les bugs qu’il trouve et les correctifs qu’il apporte, les problèmes globaux de cybersécurité de l’entreprise font désormais l’objet d’un examen approfondi à la suite de la plainte de lanceur d’alerte déposée par son ancien responsable de la sécurité, Peiter “Mudge” Zatko en août.

Zatko a allégué que l’entreprise avait fait preuve de négligence dans la sécurisation de sa plate-forme, citant des problèmes tels que le manque de sécurité des appareils des employés, le manque de protections autour du code source de Twitter, l’accès trop large des employés aux données sensibles et au service Twitter, un certain nombre de vulnérabilités non corrigées, le manque de chiffrement des données pour certaines données stockées, un nombre trop élevé d’incidents de sécurité, etc., ainsi que des menaces à la sécurité nationale.

Dans ce contexte, des bogues encore moins importants comme celui divulgué cette semaine ne peuvent pas être considérés comme des faux pas ponctuels par une entreprise, mais plutôt comme un autre exemple de problèmes de sécurité plus larges sur Twitter qui méritent plus d’attention.

Leave a Comment

Your email address will not be published.