Création Site Web Algérie logo

Twitter a corrigé un bogue qui exposait les informations de crédit sensibles des annonceurs en interne

Un bogue dans le système de Twitter, qui a été corrigé samedi, a exposé des informations sensibles à l’équipe publicitaire de l’entreprise. Noms, adresses et informations de carte de crédit de plusieurs annonceurs ont été exposés, a appris Adweek.

Le bogue a été identifié jeudi par le chercheur en confidentialité Zach Edwards. Il a constaté que la société avait ingéré des informations sensibles sur les cartes de crédit sans aucun cryptage. Le bogue s’est produit au milieu de changements rapides de plate-forme et de réductions d’effectifs généraux à la suite de l’inauguration d’Elon Musk il y a trois semaines. je mange plus les cadres partent ou sont licenciésLes ingénieurs de Twitter doivent « auto-certifier la conformité aux exigences de la FTC et d’autres lois », selon un message interne de mou.

« Ce sont des cartes de crédit d’entreprise ad-tech avec des limites sauvages », a déclaré Edwards, qui détecté l’erreur dans votre navigateur tout en testant ce qui se passe lorsque les gens ajoutent leurs informations de carte de crédit à leur compte publicitaire Twitter.

Les employés de Twitter pourraient prendre des captures d’écran et télécharger des informations de carte de crédit.

Les ingénieurs de Twitter ont appris le bogue du système via le tweet d’Edwards et l’ont corrigé en interne au cours du week-end, selon une capture d’écran vue par Adweek.

Adweek a contacté Twitter mais n’a reçu aucune réponse, au moins un des e-mails a été récupéré.

Récemment, le dénonciateur de Twitter, Peiter Zatko, a souligné des failles de sécurité dans la plateforme. Témoignant devant le Congrès en septembre, il a affirmé que les employés avaient trop accès aux données. Twitter n’avait pas la capacité de répondre aux risques pour la sécurité nationale, y compris l’accès obtenu par des agents étrangers potentiels sur sa liste de paie, a-t-il déclaré. Après l’exode massif des cadres au cours des deux dernières semaines, ceux qui ont encore Twitter tentent de faire reculer Twitter Blue, le service payant de l’entreprise. Cependant, Edwards n’a pas trouvé le même problème potentiel de faille de sécurité avec Twitter Blue, qui utilise le processeur de paiement Stripe pour traiter les transactions mensuelles.

« Ils l’ont réparé parce qu’ils se sont fait prendre », a déclaré Ari Lightman, professeur de médias numériques, de marketing et de cybersécurité au Heinz College de l’Université Carnegie Mellon.

Pourtant, cette solution ne résout pas les risques imminents de sécurité des données à l’intérieur de Twitter.

Un problème de sécurité des données

Edwards, qui a précédemment testé des bugs dans les annonces sur Twitter, il craignait principalement que les détails de la carte de crédit de l’entreprise, ainsi que les noms et adresses, soient stockés en clair. Cette façon de stocker des informations de manière transparente n’existait pas avant l’acquisition, selon Edwards.

« Si quelqu’un à l’intérieur de Twitter consulte des informations de carte de crédit, c’est un problème de sécurité des données », a déclaré Vuk Janosevic, PDG et co-fondateur de la société de confidentialité des données Blindnet. « Au moment où quelqu’un découvre des achats frauduleux, cela peut facilement prendre 90 jours. Il y a un risque évident de fraude ici.

La norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) stipule que le numéro de compte principal (PAN) doit être illisible et fortement crypté où qu’il soit stocké. Deux sources ont indiqué que Twitter avait violé l’exigence PCI. La conformité et l’application des normes PCI sont le rôle des marques de paiement et des banques acquéreuses, a déclaré un porte-parole de PCI à Adweek.

« Les paramètres de sécurité minuscules qui existent au sein de Twitter représentent un risque de sécurité énorme », a déclaré Lightman, ajoutant que la plate-forme nécessite une stabilisation urgente. Et ce n’est pas un processus simple ou rapide. Cela implique des audits du service de sécurité, des tests d’intrusion, l’adoption par les utilisateurs et une formation à la sécurité pour les employés et les sous-traitants.

« Une évaluation complète des risques à l’échelle de l’entreprise pourrait aider à hiérarchiser et à redéployer les ressources là où cela compte le plus », a déclaré Jerome Dangu, CTO et co-fondateur de la société de technologie publicitaire de cybersécurité et de prévention des logiciels malveillants Confiant. « Il faudra des années pour le reconstruire.

Pendant ce temps, Musk aurait déclaré au personnel que la faillite n’était pas hors de question si la publicité, les abonnements ou d’autres revenus ne pouvaient pas être maintenus.

Et la liste des annonceurs quittant la plateforme ne cesse de s’allonger.

« Pour se sauver, Twitter doit reconquérir les annonceurs », a déclaré Lightman. « C’est la principale source de revenus. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *