Le 24 décembre 2019, nous avons découvert qu'une personne utilisait un vaste réseau de faux comptes pour exploiter notre API et associer des noms d'utilisateur à des numéros de téléphone. Nous avions immédiatement suspendu ces comptes. Nous vous communiquons aujourd'hui les détails de notre enquête, car il est important pour nous que vous sachiez ce qui s'est passé et comment nous avons remédié à ce problème. 

Au cours de notre enquête, nous avons découvert d'autres comptes dont nous pensons qu'ils ont pu exploiter ce même point de terminaison d'API d'une manière qui ne correspond pas à son usage prévu. Bien que nous ayons identifié des comptes se livrant à ces comportements dans de nombreux pays, nous avons observé un volume particulièrement élevé de requêtes émanant d'adresses IP individuelles situées en Iran, en Israël et en Malaisie. Il est possible que certaines de ces adresses IP aient des liens avec des pirates informatiques soutenus par des États. Nous rendons ces informations publiques à la fois par mesure de précaution et par principe.

Lorsqu'il est utilisé comme prévu, ce point de terminaison permet aux nouveaux titulaires de compte de trouver plus facilement des personnes qu'ils connaissent déjà sur Twitter. Le point de terminaison fait correspondre des numéros de téléphone à des comptes Twitter pour les utilisateurs qui ont activé l'option Permettez aux personnes qui ont votre numéro de téléphone de vous trouver sur Twitter, et qui ont associé un numéro de téléphone à leur compte Twitter. Les personnes qui n'avaient pas activé ce paramètre ou qui n'avaient pas associé de numéro de téléphone à leur compte n'ont pas été exposées à cette vulnérabilité. 

Suite à notre enquête, nous avons immédiatement apporté un certain nombre de modifications à ce point de terminaison, afin qu'il ne puisse plus renvoyer de noms de compte spécifiques en réponse aux requêtes. Par ailleurs, nous avons suspendu tous les comptes dont nous pensons qu'ils ont exploité ce point de terminaison.  

La protection de la vie privée et de la sécurité des personnes qui utilisent Twitter est notre priorité numéro un, et nous travaillons sans relâche pour mettre un terme aux utilisations abusives de l'API Twitter le plus rapidement possible. Vous trouverez plus d'informations sur les efforts que nous déployons pour protéger Twitter des manipulations de la plateforme et des activités soutenues par des États dans le Rapport de transparence Twitter.

Nous sommes vraiment désolés de ce qui s'est passé. Nous reconnaissons et apprécions la confiance que vous nous témoignez, et nous nous engageons à mériter chaque jour cette confiance. Vous pouvez contacter notre Service de protection des données via ce formulaire si vous avez des questions.