Twitter affirme avoir corrigé une faille de sécurité qui permettait aux acteurs de la menace de compiler des informations sur 5,4 millions de comptes Twitter, qui étaient mis en vente sur un forum de cybercriminalité connu.
La vulnérabilité permettait à quiconque de saisir un numéro de téléphone ou une adresse e-mail d’un utilisateur connu et de savoir s’il était lié à un compte Twitter existant, exposant potentiellement l’identité de comptes pseudonymes.
Dans un brève déclaration publié vendredi, le géant du microblogging a déclaré : « si quelqu’un soumettait une adresse e-mail ou un numéro de téléphone aux systèmes de Twitter, les systèmes de Twitter indiqueraient à la personne à quel compte Twitter les adresses e-mail ou le numéro de téléphone soumis étaient associés, le cas échéant ».
Twitter a déclaré avoir corrigé le bogue en janvier – six mois après l’introduction initiale du bogue dans sa base de code – après un rapport de prime de bogue par un chercheur en sécurité, qui a reçu 6 000 $ pour avoir divulgué la vulnérabilité.
Selon le rapport de bug bounty, la vulnérabilité constituait une « menace sérieuse » pour les utilisateurs qui ont des comptes privés ou pseudonymes, et pourrait être utilisée pour « créer une base de données » ou énumérer « une grande partie de la base d’utilisateurs de Twitter ». Cela ressemble à une vulnérabilité découverte fin 2019 qui a permis à un chercheur en sécurité de faire correspondre 17 millions de numéros de téléphone à des comptes Twitter.
Mais l’avertissement du chercheur est venu trop tard. Les pirates avaient déjà exploité la vulnérabilité au cours de cette fenêtre de six mois pour créer une base de données d’adresses e-mail et de numéros de téléphone de 5,4 millions de comptes Twitter.
Twitter a déclaré avoir appris l’exploitation d’un rapport de presse non spécifié en juillet, qui a trouvé une liste sur un forum de cybercriminalité prétendant avoir des données d’utilisateur « des célébrités aux entreprises », et des OG, faisant référence à des médias sociaux et des jeux personnalisés ou très recherchés. noms d’utilisateur.
« Après avoir examiné un échantillon des données disponibles à la vente, nous avons confirmé qu’un mauvais acteur avait profité du problème avant qu’il ne soit résolu », a déclaré Twitter. « Nous informerons directement les propriétaires de compte dont nous pouvons confirmer qu’ils ont été affectés par ce problème. »
C’est le dernier incident de sécurité à avoir frappé Twitter ces dernières années. En mai, Twitter a accepté de payer 150 millions de dollars dans le cadre d’un règlement avec la Federal Trade Commission après que la société a abusé des numéros de téléphone et des adresses e-mail, que les utilisateurs ont soumis pour mettre en place une authentification à deux facteurs, pour la publicité ciblée.