Une vulnérabilité de sécurité sur Twitter a permis à un mauvais acteur de découvrir les noms de compte associés à certaines adresses e-mail et numéros de téléphone (et oui, cela pourrait inclure vos comptes secrets de célébrités), Twitter confirmé vendredi. Twitter a initialement corrigé le problème en janvier après avoir reçu un rapport via son programme de primes de bogues, mais un pirate a réussi à exploiter la faille avant même que Twitter ne le sache.
La vulnérabilité, qui découle d’une mise à jour que la plate-forme a apportée à son code en juin 2021, est passée inaperçue jusqu’au début de cette année. Cela a donné aux pirates plusieurs mois pour exploiter la faille, bien que Twitter ait déclaré qu’il « n’avait aucune preuve suggérant que quelqu’un avait profité de la vulnérabilité » au moment de sa découverte.
Le mois dernier rapport de Ordinateur qui bipe a suggéré le contraire et a révélé qu’un pirate avait réussi à exploiter la vulnérabilité alors qu’elle volait sous le radar de Twitter. Le pirate aurait amassé une base de données de plus de 5,4 millions de comptes en profitant de la faille, puis aurait tenté de vendre les informations sur un forum de pirates pour 30 000 $. Après avoir analysé les données publiées sur le forum, Twitter a confirmé que ses données d’utilisateur avaient été compromises.
On ne sait toujours pas combien d’utilisateurs ont été réellement touchés, et Twitter ne semble pas le savoir non plus. Alors que Twitter dit qu’il prévoit d’informer les utilisateurs concernés, il n’est pas « en mesure de confirmer chaque compte potentiellement impacté ». Twitter conseille à toute personne préoccupée par ses comptes secrets d’activer l’authentification à deux facteurs, ainsi que de joindre une adresse e-mail ou un numéro de téléphone qui n’est pas publiquement connu du compte auquel elle ne souhaite pas être associée.