Une vulnérabilité Twitter découverte et corrigée pour la première fois en janvier 2022 semble avoir causé beaucoup plus de dégâts qu’on ne le pensait initialement.
Comme Tech Radar Pro signalé fin juillet 2022, un vidage de données d’identité sensible (s’ouvre dans un nouvel onglet) les informations de 5,4 millions d’utilisateurs de Twitter ont été vendues sur le dark web. Maintenant, des rapports de suivi indiquent que non seulement ce vidage de données est offert gratuitement, mais qu’une deuxième violation, potentiellement encore plus dommageable, a été commise.
Celui-ci, d’après BipOrdinateur (s’ouvre dans un nouvel onglet)contient potentiellement « des dizaines de millions d’enregistrements Twitter », y compris les numéros de téléphone des personnes, le statut vérifié, les noms de compte, les identifiants Twitter, les biographies et les pseudonymes.
Authenticité confirmée
Les conclusions ont été initialement publiées par le chercheur en sécurité Chad Loder, qui aurait été banni de Twitter après avoir annoncé la nouvelle. Il a depuis migré vers Mastodon et y a publié ses découvertes.
« Je viens de recevoir des preuves d’une violation massive des données Twitter affectant des millions de comptes Twitter dans l’UE et aux États-Unis. J’ai contacté un échantillon des comptes concernés et ils ont confirmé que les données piratées sont exactes. Cette violation s’est produite au plus tôt en 2021 », Loder a partagé sur Twitter à l’époque.
BipOrdinateur a analysé un échantillon de la violation, contenant plus de 1,3 million de numéros de téléphone d’utilisateurs de Twitter en France, et est parvenu à la conclusion que les numéros sont valides.
« Nous avons depuis confirmé avec de nombreux utilisateurs dans cette fuite que les numéros de téléphone sont valides, vérifiant que cette violation de données supplémentaire est réelle », note la publication.
Ces numéros de téléphone ne faisaient pas partie du vidage de données vendu l’été dernier, confirmant tout sauf qu’une deuxième violation s’est produite.
BipOrdinateur a également réussi à entrer en contact avec la personne qui a commis la fuite de données initiale, un pirate informatique sous le pseudonyme de « Pompompurin », qui a confirmé qu’il n’était pas responsable de la deuxième fuite.
Par conséquent, il est prudent de supposer que plusieurs acteurs de la menace étaient au courant de la faille de Twitter et ont travaillé activement pour l’exploiter avant qu’elle ne soit initialement corrigée.