Mardi, Twitter a indiqué qu'il s'est « involontairement » servi des numéros de téléphone et des adresses e-mail à des fins publicitaires, même si les informations étaient fournies par les utilisateurs pour une authentification à deux facteurs :« Nous avons récemment découvert que lorsque vous avez fourni une adresse e-mail ou un numéro de téléphone à des fins de sécurité (dans le cadre de l'authentification à deux facteurs, par exemple), ces données peuvent avoir été utilisées par mégarde à des fins publicitaires, en particulier avec nos fonctionnalités d'audiences personnalisées et d'audiences tierces.
« Les audiences personnalisées sont une version d'un produit standard du secteur qui permet aux annonceurs de diffuser leurs publicités à des clients en utilisant leurs propres listes marketing (listes d'adresses e-mail ou de numéros de téléphone compilées par leurs soins, par exemple). Les audiences tierces permettent aux annonceurs d'utiliser les mêmes fonctionnalités que les audiences personnalisées pour diffuser des publicités à des audiences fournies par des partenaires tiers. Lors du téléchargement d'une liste marketing par un annonceur, nous avons pu associer des utilisateurs de Twitter à cette liste, en nous basant sur l'adresse e-mail ou le numéro de téléphone fournis par les titulaires de comptes Twitter à des fins de sécurité. Il s'agissait d'une erreur et nous nous en excusons.
« Nous ne savons pas combien de personnes exactement ont été affectées par ce problème. Toutefois, dans un effort de transparence, nous avons souhaité avertir tout le monde. Aucune donnée personnelle n'a jamais été transmise à aucun de nos partenaires ni à d'autres tiers. Depuis le 17 septembre, nous avons résolu l'origine du problème, et nous n'utilisons plus à des fins publicitaires les numéros de téléphone ni les adresses e-mail collectés dans le cadre de procédures de sécurité.
« Nous sommes vraiment désolés que cela se soit produit, et nous prenons des mesures pour nous assurer de ne plus commettre une telle erreur. »
Selon Twitter, aucune donnée personnelle n’a été partagée avec les partenaires tiers de la société, et le « problème qui a permis que cela se produise » a été résolu. Depuis le 17 septembre, les numéros de téléphone et les adresses e-mail ne sont désormais collectés qu'à des fins de sécurité, a déclaré Twitter.
Le mois dernier, le compte du PDG de Twitter, Jack Dorsey, a été compromis et des pirates ont pu tweeter des insultes racistes. Le réseau social de microblogage avait alors déclaré que le numéro de téléphone associé au compte de Dorsey avait été compromis en raison d'une omission de sécurité par le fournisseur de services mobiles.
En mai 2018, Twitter a conseillé à tous ses utilisateurs de changer leur mot de passe après la découverte d'un bogue qui les exposait en texte brut. Twitter a déclaré à l'époque qu'aucune information n'avait été violée ou utilisée à mauvais escient.
Twitter fait face à une enquête de la FTC pour avoir utilisé les numéros de téléphone à des fins publicitaires
Twitter fait face à une enquête de la Federal Trade Commission et pense qu'il devra probablement payer une amende pouvant atteindre 250 millions de dollars après avoir été surpris en train d'utiliser des numéros de téléphone destinés à une authentification à deux facteurs à des fins publicitaires.
La société a reçu un brouillon de plainte de la FTC le 28 juillet, qu'elle a communiqué dans son dépôt trimestriel régulier auprès de la commission des valeurs mobilières. La plainte allègue que Twitter est en violation de son accord de 2011 avec la FTC sur le « défaut de la société de protéger les informations personnelles ».
« Selon les termes de cet accord, Twitter sera interdit pendant 20 ans d'induire les consommateurs en erreur sur la mesure dans laquelle il protège la sécurité et la confidentialité des informations non publiques des consommateurs, y compris les mesures qu'il prend pour empêcher l'accès non autorisé à des informations non publiques et respecte les choix de confidentialité faits par les consommateurs. L'entreprise doit également établir et maintenir un programme complet de sécurité de l'information, qui sera évalué par un auditeur indépendant tous les deux ans pendant 10 ans », pouvons-nous lire sur l'accord. En octobre 2019, cependant, Twitter a admis que les numéros de téléphone et les adresses e-mail fournis par les utilisateurs dans le but de sécuriser leurs comptes avaient également été utilisés « par inadvertance » à des fins publicitaires entre 2013 et 2019.
Dans le dossier, Twitter estime que la « fourchette de pertes probables » à laquelle il est confronté dans l'enquête se situe entre 150 et 250 millions de dollars, bien qu'il ajoute que « la question reste non résolue, et il ne peut y avoir aucune assurance quant au moment ou aux conditions de tout résultat final ».
Twitter n'est pas la première entreprise de médias sociaux à faire l'objet d'une enquête pour l'exploitation des informations personnelles fournies par les utilisateurs pour des raisons de sécurité. L'année dernière, la FTC a imposé une amende record de 5 milliards de dollars sur Facebook pour des violations répétées de la vie privée.
En 2018, Facebook a non seulement commencé à envoyer des notifications aux numéros de téléphone fournis par les utilisateurs à des fins d'authentification à deux facteurs, mais il a également été constaté qu'il utilisait ces numéros pour dresser des profils qui étaient utilisés pour connecter d'autres personnes et annonceurs à vous.
La majeure partie de l'amende était liée aux actions de Facebook dans le scandale Cambridge Analytica, mais la FTC a également inclus dans son règlement des actions dont Twitter est désormais accusé. Facebook a également eu un accord avec la FTC en 2011 après avoir reconnu avoir utilisé à mauvais escient les données des utilisateurs. Son utilisation des informations personnelles qui lui étaient fournies à des fins de sécurité a été jugée contraire à cet accord.
Sources : Twitter, brouillon de la plainte de la FTC, accord de 2011 avec la FTC
Et vous ?
Disposez-vous d'un compte Twitter ? Si oui, avez-vous activé l'authentification à deux facteurs ? Y avez-vous déjà reçu de la publicité ? Est-ce surprenant pour vous de voir des numéros de téléphone communiqués pour une authentification à deux facteurs être utilisés à des fins publicitaires ? Que pensez-vous de la déclaration de Twitter qui déclare s'être « involontairement » servi des numéros de téléphone et des adresses e-mail à des fins publicitaires ?Voir aussi :
Piratage de Twitter : les pirates ont ciblé les employés via une attaque d'hameçonnage par téléphone, pour exploiter les vulnérabilités humaines afin d'accéder aux systèmes internes de l'entreprise Trois personnes inculpées pour le piratage massif de Twitter et parmi elles un adolescent de Floride qui a prétendu travailler pour le département informatique de Twitter Twitter permet maintenant d'utiliser l'authentification à deux facteurs sans numéro de téléphone, mais il faudra activer la confirmation via une application pour continuer à profiter de 2FA Twitter informe qu'il pourrait avoir utilisé des données d'utilisateurs sans permission pour de la publicité à cause d'une faille de sécurité La technique très simple qui a permis de pirater le compte Twitter de Jack Dorsey, pour ensuite envoyer des tweets racistes à plus de 4 millions de personnes avant d'être sécurisé 
