Un attaquant aurait eu accès aux coordonnées de 5,4 millions de comptes Twitter grâce à une vulnérabilité que Twitter connaît depuis des mois.
Les données exposées dans l’attaque associent les poignées de Twitter aux numéros de téléphone et aux adresses e-mail, même pour les utilisateurs qui ont restreint la possibilité d’être trouvés sur Twitter de cette façon. L’attaquant a proposé un échantillon des données sur un forum de piratage et vend la base de données complète pour “rien de moins que 30 000” (vraisemblablement USD, soit environ 38 505 $ CAN).
Restaurer la confidentialité a détaillé la violation, notant que l’attaquant affirme que l’ensemble de données va de “Célébrités, à Entreprises, aléatoires, OG, etc.” De plus, la publication rapporte que le propriétaire de Breach Forums a vérifié l’authenticité des données divulguées et a déclaré qu’elles avaient été extraites via une vulnérabilité signalée en janvier.
Cette vulnérabilité, détaillée dans un article HackerOne de l’utilisateur “zhirinovskiy”, exploite un bogue avec l’application Android de Twitter et le processus d’autorisation de Twitter et peut obtenir l’identifiant Twitter de n’importe quel utilisateur en soumettant un numéro de téléphone ou un e-mail. zhirinovskiy décrit les identifiants Twitter comme “presque égaux” au nom d’utilisateur d’un compte.
Cinq jours après le rapport, le personnel de Twitter a reconnu qu’il s’agissait d’un “problème de sécurité valable” et, après enquête, a accordé à zhirinovskiy une prime de 5 040 USD (environ 6 469 USD).
9to5Mac note que l’attaquant a probablement obtenu des bases de données existantes de numéros de téléphone et d’e-mails provenant d’autres violations, puis a utilisé celles avec la violation de Twitter pour les connecter aux identifiants Twitter existants. Jusqu’à présent, il n’existe aucun moyen de vérifier si votre compte est inclus dans la violation. La meilleure chose que les utilisateurs de Twitter puissent faire est d’être conscient des escroqueries par hameçonnage et d’éviter de cliquer sur des liens dans des e-mails ou des SMS, surtout s’ils proviennent d’une source inconnue ou non fiable.
La nouvelle de la violation survient alors que Twitter vise Elon Musk, accusant le PDG de Tesla de résultats trimestriels inférieurs aux attentes.
Source : Restaurer la confidentialité via : 9to5Mac
