Alors que Twitter a récemment été chamboulé par la tentative de rachat d’Elon Musk, qui a finalement retiré son offre avant que l’entreprise américaine ne l’attaque en justice, le réseau social est désormais confronté à une importante violation de données. En effet, une faille de sécurité de Twitter a permis à des pirates d’accéder aux données personnelles de 5,4 millions de comptes.
Cette faille permettait à un attaquant d’obtenir le numéro de téléphone et/ou l’adresse e-mail associés aux comptes Twitter. Et ce même si l’utilisateur avait masqué ces champs dans les paramètres de confidentialité. Sur le forum, la publication proposant d’acheter la base de données a été postée par un certain « devil ». Ce dernier atteste que son fichier intègre notamment les données de célébrités, d’entreprises, d’organisations, etc. Contacté par Restore Privacy (site web américain spécialisé dans la cyber sécurité), le vendeur précise vouloir vendre la base de données « pas à moins de 30 000 dollars ».
Et d’expliquer que celle-ci est tombée entre ses mains à cause de « l’incompétence de Twitter ». À l’origine du rapport de bug, l’utilisateur du forum HackerOne, « zhirinovskiy », estimait à l’époque qu’il s’agissait d’une « menace sérieuse », les attaquants pouvant créer des bases de données liant le nom d’utilisateur avec le numéro de téléphone et l’e-mail.
Restore Privacy a déclaré dans un article que la violation des données a été rendue possible par une faille de sécurité de Twitter découverte en janvier dernier. À l’époque, le site HackerOne avait signalé un bug qui permettait à un attaquant d’obtenir le numéro de téléphone et/ou l’adresse électronique d’un membre de Twitter, même si celui-ci a masqué ces champs dans les paramètres de confidentialité de son compte.
Le bug aurait comme origine le processus d’autorisation utilisé dans le client Android de Twitter, spécifiquement dans le processus de vérification des comptes Twitter dupliqués. Dans le post, l’utilisateur a également expliqué comment la faille pouvait être reproduite. Twitter avait finalement reconnu la vulnérabilité comme un «problème de sécurité légitime » et avait offert une récompense de 5040 dollars au chercheur de HackerOne dans le cadre de son programme de Bug Bounty.
Il n’existe pour le moment aucun moyen de savoir si votre compte Twitter a été visé par cette violation de données, payer la somme demandée n’étant évidemment pas une option. Mais, heureusement pour les utilisateurs, la base de données mise en vente ne semble pas inclure de mots de passe.
Cette faille permettait à un attaquant d’obtenir le numéro de téléphone et/ou l’adresse e-mail associés aux comptes Twitter. Et ce même si l’utilisateur avait masqué ces champs dans les paramètres de confidentialité. Sur le forum, la publication proposant d’acheter la base de données a été postée par un certain « devil ». Ce dernier atteste que son fichier intègre notamment les données de célébrités, d’entreprises, d’organisations, etc. Contacté par Restore Privacy (site web américain spécialisé dans la cyber sécurité), le vendeur précise vouloir vendre la base de données « pas à moins de 30 000 dollars ».
Et d’expliquer que celle-ci est tombée entre ses mains à cause de « l’incompétence de Twitter ». À l’origine du rapport de bug, l’utilisateur du forum HackerOne, « zhirinovskiy », estimait à l’époque qu’il s’agissait d’une « menace sérieuse », les attaquants pouvant créer des bases de données liant le nom d’utilisateur avec le numéro de téléphone et l’e-mail.
Restore Privacy a déclaré dans un article que la violation des données a été rendue possible par une faille de sécurité de Twitter découverte en janvier dernier. À l’époque, le site HackerOne avait signalé un bug qui permettait à un attaquant d’obtenir le numéro de téléphone et/ou l’adresse électronique d’un membre de Twitter, même si celui-ci a masqué ces champs dans les paramètres de confidentialité de son compte.
Le bug aurait comme origine le processus d’autorisation utilisé dans le client Android de Twitter, spécifiquement dans le processus de vérification des comptes Twitter dupliqués. Dans le post, l’utilisateur a également expliqué comment la faille pouvait être reproduite. Twitter avait finalement reconnu la vulnérabilité comme un «problème de sécurité légitime » et avait offert une récompense de 5040 dollars au chercheur de HackerOne dans le cadre de son programme de Bug Bounty.
Il n’existe pour le moment aucun moyen de savoir si votre compte Twitter a été visé par cette violation de données, payer la somme demandée n’étant évidemment pas une option. Mais, heureusement pour les utilisateurs, la base de données mise en vente ne semble pas inclure de mots de passe.
