La violation massive de données sur Twitter a été bien pire que prévu, révèlent des chercheurs en sécurité

La violation massive de données sur Twitter a été bien pire que prévu, révèlent des chercheurs en sécurité

Une violation massive des données sur Twitter l’année dernière, exposant plus de cinq millions de numéros de téléphone et d’adresses e-mail, était pire que ce qui avait été initialement signalé. On nous a montré des preuves que la même vulnérabilité de sécurité était exploitée par plusieurs acteurs malveillants, et les données piratées ont été proposées à la vente sur le dark web par plusieurs sources.

On pensait auparavant qu’un seul hacker avait eu accès aux données, et l’aveu tardif de Twitter a renforcé cette impression…

Arrière plan

HackerOne signalé pour la première fois la vulnérabilité en janvier, qui permettait à quiconque de saisir un numéro de téléphone ou une adresse e-mail, puis de trouver le twitterID associé. Il s’agit d’un identifiant interne utilisé par Twitter, mais qui peut être facilement converti en identifiant Twitter.

Un mauvais acteur serait en mesure de constituer une base de données unique combinant des identifiants Twitter, des adresses e-mail et des numéros de téléphone.

À l’époque, Twitter a admis que la vulnérabilité existait et avait ensuite été corrigée, mais n’a rien dit sur quiconque l’exploitait.

Restaurer la confidentialité a par la suite signalé qu’un pirate avait effectivement utilisé la vulnérabilité pour obtenir des données personnelles de millions de comptes.

Une vulnérabilité Twitter vérifiée datant de janvier a été exploitée par un acteur malveillant pour obtenir des données de compte prétendument de 5,4 millions d’utilisateurs. Alors que Twitter a depuis corrigé la vulnérabilité, la base de données prétendument acquise à partir de cet exploit est maintenant vendue sur un forum de piratage populaire, publié plus tôt dans la journée.

Twitter a ensuite confirmé le piratage.

En juillet 2022, nous avons appris par un article de presse que quelqu’un en avait potentiellement profité et proposait de vendre les informations qu’il avait compilées. Après avoir examiné un exemplaire des données disponibles à la vente, nous avons confirmé qu’un mauvais acteur avait profité du problème avant qu’il ne soit résolu.

Violation massive de données Twitter au pluriel, pas au singulier

Il y avait des suggestions sur Twitter hier que les mêmes données personnelles avaient été consultées par plusieurs acteurs malveillants, pas un seul. Netcost-security.fr a maintenant vu la preuve que c’est bien le cas. On nous a montré un ensemble de données contenant les mêmes informations dans un format différent, avec un chercheur en sécurité déclarant qu’il s’agissait « certainement d’un acteur menaçant différent ». Source nous a dit que ce n’était qu’un des nombreux fichiers qu’ils ont vus.

Les données incluent les utilisateurs de Twitter au Royaume-Uni, dans presque tous les pays de l’UE et dans certaines parties des États-Unis.

J’ai obtenu plusieurs fichiers, un par code de pays de numéro de téléphone, contenant le numéro de téléphone <-> appariement du nom de compte Twitter pour l’espace de numéros de téléphone du pays entier de +XX 0000 à +XX 9999.

Tout compte Twitter disposant de la fonctionnalité Découvrabilité | L’option de téléphone activée fin 2021 était répertoriée dans l’ensemble de données.

L’option mentionnée ici est un paramètre qui est assez profondément caché dans les paramètres de Twitter et qui semble être activé par défaut. Voici un lien direct.

On pense que les mauvais acteurs ont pu télécharger environ 500 000 enregistrements par heure, et les données ont été proposées à la vente par plusieurs sources sur le dark web pour environ 5 000 $.

L’expert en sécurité qui a tweeté à ce sujet a suspendu son compte

Un autre spécialiste de la sécurité qui a tweeté hier sur le problème a vu son compte Twitter suspendu le même jour. Expert en sécurité informatique reconnu internationalement Tchad Loder a prédit la réaction de Twitter et a été confirmée en quelques minutes.

Ils m’ont dit que plusieurs pirates avaient obtenu les mêmes données et les avaient combinées avec des données provenant d’autres violations.

Il semble y avoir eu plusieurs acteurs de la menace, opérant indépendamment, récoltant ces données tout au long de 2021 pour les numéros de téléphone et les e-mails.

Les appariements e-mail-twitter ont été dérivés en exécutant de grandes bases de données existantes de plus de 100 millions d’adresses e-mail via cette vulnérabilité de découverte Twitter.

Nous contacterions Twitter pour obtenir des commentaires, mais Musk a renvoyé toute l’équipe des relations avec les médias, alors…

Photo : Unsplash


Découvrez cette vidéo ci-dessous (en anglais) pour plus d’actualités Apple :