Mise à jour le 8 septembre, 2022 par Metaverse
Twitter a été victime d’une cyberattaque qui a entraîné le vol et la fuite des données de 5,4 millions d’utilisateurs en raison de la violation d’une faille de sécurité découverte plus tôt cette année. La plateforme de cybersécurité HackerOne a publié en février dernier un rapport informant Twitter que, profitant de ce bug, des attaquants pourraient collecter des données d’utilisateurs.
“Cette vulnérabilité permet à tout utilisateur sans aucune authentification d’obtenir un identifiant Twitter de tout autre utilisateur en envoyant un numéro de téléphone ou un e-mail, malgré le fait qu’elle interdisait l’action depuis les paramètres de confidentialité”, peut-on lire dans ce rapport.
Si c’est confirmé, méfiance
(Activez l’authentification à deux facteurs)Twitter : des informations de 5,4 millions d’utilisateurs dans la nature (numéros de téléphone et adresses mails, mais pas de mots de passe)
— Matthieu Audibert (@MattAudibert) July 22, 2022
Ce rapport indique également que ce bug est propre à la version Android de Twitter et qu’il a été découvert lors du processus de vérification de la duplication d’un compte de réseau social.
Aussi, HackerOne note qu’il s’agit “d’une menace sérieuse” qui peut être exploitée par “tout attaquant ayant des connaissances de base en script et codage”, capable de créer une base de données pouvant être vendue ou utilisée à des fins publicitaires.
Un utilisateur de HackerOne connu sous le nom de “zhirinovskiy” a signalé ce problème à Twitter et la société a non seulement vérifié qu’il s’agissait d’une vulnérabilité dans son système, mais a également récompensé cet utilisateur d’un total de 5 040 $ pour l’avoir signalé.
🚨FLASH
Les données personnelles de 5.4 millions d’utilisateurs de Twitter sont en vente.
Les informations en question sont l’adresse mail et le numéro de téléphone, et peuvent être suffisantes pour une réinitialisation de mot de passe.
Prix de la base de données : 30 000$ pic.twitter.com/8EiaQjIF3V— ProPR Consulting (@ProPRConsulting) July 25, 2022
Cependant, de RestorePrivacy , ils indiquent que les cyberattaquants ont profité de cet échec pour collecter des informations auprès de 5,4 millions d’utilisateurs du réseau social et les vendre via le forum de piratage Breached Forums.
Cela est arrivé sur ledit forum grâce à l’un de ses utilisateurs, connu sous le nom de “diable”, qui a déclaré dans la publication que ladite base de données comprenait des comptes de “célébrités et entreprises”, entre autres victimes.
Quelques heures après leur publication, le propriétaire de Breached Forums a vérifié l’authenticité de la fuite et a indiqué que cette information avait été extraite de la vulnérabilité signalée par HackerOne.
Après avoir accédé à un échantillon de la fuite, RestorePrivacy a contacté le vendeur pour savoir combien il vendait toutes les données divulguées, et il a indiqué qu’il les vendait pour 30 000 $.
Comme mentionné par RestorePrivacy, de Twitter, ils ont confirmé que la situation faisait l’objet d’une enquête, bien qu’ils n’aient pas fourni plus d’informations sur l’avancement de leurs enquêtes.