Twitter confirme tardivement une violation de données qui a révélé les coordonnées de 5,4 millions de comptes [U]

Mise à jour : Twitter a confirmé assez tardivement qu’un pirate a pu exposer les détails du compte, bien que la société n’ait pas commenté le nombre de 5,4 millions. Voir déclaration à la fin de la pièce.

Une violation de données sur Twitter a permis à un attaquant d’accéder aux coordonnées de 5,4 millions de comptes. Twitter a confirmé la faille de sécurité qui a permis l’extraction des données.

Les données – qui relient les pseudos Twitter aux numéros de téléphone et aux adresses e-mail – ont été proposées à la vente sur un forum de piratage, pour 30 000 $…

Restaurer la confidentialité rapporte que la violation a été rendue possible par une vulnérabilité découverte en janvier.

Une vulnérabilité Twitter vérifiée datant de janvier a été exploitée par un acteur malveillant pour obtenir des données de compte prétendument de 5,4 millions d’utilisateurs. Alors que Twitter a depuis corrigé la vulnérabilité, la base de données prétendument acquise à partir de cet exploit est maintenant vendue sur un forum de piratage populaire, publié plus tôt dans la journée.

En janvier dernier, un rapport a été fait sur HackerOne d’une vulnérabilité qui permet à un attaquant d’acquérir le numéro de téléphone et/ou l’adresse e-mail associés aux comptes Twitter, même si l’utilisateur a masqué ces champs dans les paramètres de confidentialité. […]

Un acteur malveillant vend maintenant les données prétendument acquises à partir de cette vulnérabilité. Plus tôt dans la journée, nous avons remarqué un nouvel utilisateur vendant la base de données Twitter sur Breached Forums, le célèbre forum de piratage qui a attiré l’attention internationale plus tôt ce mois-ci avec une violation de données exposant plus d’un milliard de résidents chinois.

La publication est toujours en ligne avec la base de données Twitter qui serait composée de 5,4 millions d’utilisateurs à vendre. Le vendeur sur le forum de piratage passe par le nom d’utilisateur « diable » et affirme que l’ensemble de données comprend « des célébrités, des entreprises, des aléatoires, des OG, etc. »

Le propriétaire du forum de piratage a vérifié l’authenticité de l’attaque, et Restaurer la confidentialité indique également que deux échantillons de la base de données sont extraits.

Nous avons téléchargé l’exemple de base de données pour vérification et analyse. Il comprend des personnes du monde entier, avec des informations de profil public ainsi que l’e-mail ou le numéro de téléphone de l’utilisateur Twitter utilisé avec le compte.

Tous les échantillons que nous avons examinés correspondent à des personnes du monde réel qui peuvent être facilement vérifiées avec des profils publics sur Twitter.

Le site de confidentialité a contacté le vendeur et on lui a dit que le prix de la base de données était de 30 000 $.

HackerOne couvert la vulnérabilité en janvier, qui permettait à quiconque d’entrer un numéro de téléphone ou une adresse e-mail, puis de trouver le twitterID associé. Il s’agit d’un identifiant interne utilisé par Twitter, mais qui peut être facilement converti en identifiant Twitter.

Il s’agit d’une menace sérieuse, car les utilisateurs peuvent non seulement trouver des utilisateurs qui ont restreint la possibilité d’être trouvés par e-mail/numéro de téléphone, mais tout attaquant ayant une connaissance de base des scripts/codage peut énumérer une grande partie de la base d’utilisateurs de Twitter indisponible pour énumération préalable (créer une base de données avec des connexions téléphone / e-mail à nom d’utilisateur). Ces bases peuvent être vendues à des parties malveillantes à des fins publicitaires ou dans le but de cibler des célébrités dans différentes activités malveillantes.

Une autre fonctionnalité intéressante que j’ai découverte est que vous pouvez même trouver les identifiants des comptes Twitter suspendus en utilisant cette méthode.

Il est probable que l’attaquant a obtenu des bases de données existantes de numéros de téléphone et d’adresses e-mail obtenues lors de violations d’autres services, puis a utilisé ces informations pour rechercher les identifiants Twitter correspondants.

Il n’existe pour l’instant aucun moyen de vérifier si votre compte est inclus dans la violation de données de Twitter. Comme toujours, il vaut la peine d’être vigilant face aux attaques de phishing – des e-mails prétendant provenir d’Apple, de votre banque, de PayPal, du fournisseur de messagerie, etc., et qui vous demandent de vous connecter à votre compte.

Les tactiques de phishing courantes consistent en un message vous indiquant que votre compte risque d’être supprimé ou en envoyant un faux reçu pour un achat de grande valeur, ainsi qu’un lien pour contester les frais.

La principale garantie ici est de jamais cliquez sur les liens envoyés dans les e-mails. Utilisez toujours vos propres signets ou saisissez une URL connue.

Mise à jour : Twitter confirme maintenant la violation

Twitter avait précédemment confirmé l’existence de la vulnérabilité, mais n’avait pas commenté le fait qu’elle avait été exploitée. L’entreprise l’a maintenant faitet a promis de contacter les utilisateurs concernés.

Ce bug résultait d’une mise à jour de notre code en juin 2021. Lorsque nous l’avons appris, nous l’avons immédiatement enquêté et corrigé. À ce moment-là, nous n’avions aucune preuve suggérant que quelqu’un avait profité de la vulnérabilité.

En juillet 2022, nous avons appris par un article de presse que quelqu’un en avait potentiellement profité et proposait de vendre les informations qu’il avait compilées. Après avoir examiné un exemplaire des données disponibles à la vente, nous avons confirmé qu’un mauvais acteur avait profité du problème avant qu’il ne soit résolu.

Nous informerons directement les propriétaires de compte que nous pouvons confirmer avoir été affectés par ce problème.

---

Découvrez cette vidéo ci-dessous (en anglais) pour plus d’actualités Apple :