Karan Saini, le chercheur en sécurité de Twitter a récemment découvert que tous les messages directs envoyés par les utilisateurs sont conservés sur la plateforme pendant plusieurs années, même pour ceux qui ont été supprimés ainsi que ceux appartenant à des comptes désactivés ou suspendus. Karan Saini a affirmé que depuis quelques années, Twitter ne permettait plus à ses abonnés de supprimer des messages de leurs comptes. La page d’aide du réseau social souligne que les participants d’une conversation pourront toujours consulter les messages directs qui ont déjà été supprimés. Twitter indique également dans sa politique de confidentialité que les comptes des personnes qui souhaitent quitter la plateforme seront désactivés puis supprimés dans un délai de 30 jours. Malgré cela, Karan Saini a pu récupérer des messages directs datant de plusieurs années, mêmes pour les comptes qui ont déjà été suspendus ou supprimés.
Cette situation serait due à un bug fonctionnel et non à une faille de sécurité selon Karan Saini. Les développeurs de Twitter seraient actuellement en train de mener des études pour approfondir l’étendue de la situation. Par contre, cette circonstance pourrait entrainer des poursuites, car les nouvelles lois européennes sur la protection des données autorisent les utilisateurs à exiger la suppression de leurs données sur un site. De plus, toutes les entreprises qui ne suivent pas les règles de la GDPR pourraient écoper d’une amende pouvant aller jusqu’à 4 % de son chiffre d’affaires annuel.