Les données de plus de 5,4 millions d'utilisateurs de Twitter ont été partagées gratuitement sur un forum de hackers qui contient des informations non publiques acquises via une vulnérabilité d'API corrigée en janvier 2022.
En plus de cela, un chercheur en cybersécurité a également révélé une autre violation de données énorme et peut-être plus importante, contenant un vidage de données de millions d'enregistrements Twitter qui ont abrasé des informations publiques ainsi que des numéros de téléphone et des adresses e-mail privés, qui ne sont pas censés être divulgués à le public, rapporte Bleeping Computer.
Jetons un coup d'œil à l'arrière-plan de la violation de Twitter.
Quand était Le piratage Première Découvert?
De retour en janvier 2022, L'utilisateur de HackerOne “zhirinovskiy” a signalé une vulnérabilité Twitter qui permettait à un attaquant de trouver un compte Twitter par son numéro de téléphone/e-mail, même si l'utilisateur l'a interdit dans les options de confidentialité.
“Il s'agit d'une menace sérieuse, car les utilisateurs peuvent non seulement trouver des utilisateurs qui ont désactivé la possibilité de découverte par e-mail/numéro de téléphone, mais tout attaquant ayant une connaissance de base des scripts/codage peut énumérer une grande partie de la base d'utilisateurs de Twitter indisponible pour l'énumération avant ( créer une base de données avec des connexions téléphone / e-mail vers nom d'utilisateur) », indique la description dans le rapport soumis par zhirinovskiy via la plateforme de primes de bogues HackerOne.
Le 6 janvier 2022, Twitter a reconnu le problème et l'a corrigé le 13 janvier 2022. À l'époque, il ne disait rien sur quiconque exploitant la vulnérabilité. La société a même récompensé zhirinovskiy avec une prime de 5 040 $ pour avoir découvert le bogue.
Quand les données ont-elles été divulguées ?
En juillet de cette année, un acteur menaçant avec le nom d'utilisateur “Devil” a vendu les données divulguées de 5,4 millions de comptes Twitter sur le populaire forum de piratage Breached Forums pour 30 000 $.
Qu'est-ce que le Les données divulguées consistent-elles ?
La base de données contenait des informations sur plusieurs comptes, y compris des célébrités, des entreprises et des utilisateurs aléatoires. Les données concernées comprenaient l'adresse e-mail ou le numéro de téléphone ainsi que d'autres informations publiques, telles que les identifiants Twitter, les noms, les noms de connexion, les emplacements, le statut vérifié, l'URL, la description, le nombre d'abonnés, la date de création du compte, le nombre d'amis, le nombre de favoris, le nombre de statuts, et les URL des images de profil.
Twitter reconnaît le piratage
Le 5 août, Twitter a reconnu la violation de données et a déclaré que c'était “malheureux”.
“Après avoir examiné un échantillon des données disponibles à la vente, nous avons confirmé qu'un mauvais acteur avait profité du problème avant qu'il ne soit résolu”, a-t-il déclaré. m'a dit dans une déclaration sur la violation.
La société a ajouté qu'elle “informerait directement les utilisateurs du compte [it] pourrait confirmer ont été affectés par ce problème ».
Pas un mais plusieurs acteurs de la menace ont exploité la vulnérabilité de l'API Twitter
Il semble qu'avant que Twitter ne puisse corriger la faille, plusieurs acteurs de la menace ont saisi l'occasion d'exploiter le bogue de l'API pour voler des informations privées sur le site de microblogging.
Selon Bleeping Computer, les 5,4 millions d'enregistrements Twitter ont d'abord été partagés gratuitement sur un forum de piratage en septembre, et maintenant plus récemment, le 24 novembre. En d'autres termes, n'importe qui peut désormais consulter gratuitement des informations privées.
Pompompurin, le propriétaire du forum de piratage Breached, a déclaré à Bleeping Computer le week-end dernier que les données Twitter divulguées étaient les mêmes que celles vendues en juillet de cette année.
Il comprendrait des dizaines de millions d'enregistrements d'utilisateurs Twitter, y compris des numéros de téléphone, des noms de compte, des identifiants Twitter, des photos d'affichage, des statuts vérifiés, des bios et des noms d'écran. Au total, il y a environ 17 millions d'enregistrements de ce vidage récent (qui n'ont pas pu être confirmés de manière indépendante) et peuvent être utilisés pour cibler les utilisateurs dans des attaques de phishing.
Chad Loder, le fondateur de la société de sensibilisation à la cybersécurité Habitu8, a été le premier à annoncer la nouvelle de la prétendue violation de données plus importante et plus importante. sur Twitter mais a été suspendu immédiatement après sa publication. Par la suite, il a publié un échantillon expurgé de cette énorme violation de données sur Mastodon.
“Je viens de recevoir des preuves d'une violation massive des données Twitter affectant des millions de comptes Twitter dans l'UE et aux États-Unis. J'ai contacté un échantillon des comptes concernés et ils ont confirmé que les données piratées sont exactes. Cette violation s'est produite au plus tôt en 2021 », a partagé Loder sur Twitter.
Selon Loder, les données de cette violation ne sont “pas les mêmes données” que celles observées lors de la violation de juillet, car elles sont dans un “format complètement différent” et ont “des comptes affectés différents”.
Bleeping Computer a confirmé auprès de plusieurs utilisateurs que les numéros de téléphone sont valides, confirmant que cette violation de données supplémentaire est réelle. Apparemment, les données originales vendues en août ne contenaient aucun de ces numéros de téléphone.
Cela ne fait que montrer que la violation de données de Twitter est beaucoup plus importante que ce qui avait été divulgué précédemment, avec une énorme quantité de données d'utilisateurs circulant parmi les acteurs de la menace.
Pendant ce temps, Pompompurin a confirmé à Bleeping Computer que cette autre violation massive n'était pas de leur responsabilité, et ils ne savaient pas qui avait créé le bogue de l'API Twitter récemment découvert, suggérant que d'autres personnes utilisaient cette vulnérabilité de l'API.
Ce vidage de données récemment découvert comprend de nombreux fichiers divisés par pays et indicatifs régionaux, y compris l'Europe, Israël et les États-Unis.
Twitter n'a pas encore fourni de déclaration sur le vidage de données supplémentaires d'informations privées.
Comment les utilisateurs de Twitter peuvent-ils se protéger contre le piratage ?
Il est recommandé aux utilisateurs de Twitter d'ignorer et de supprimer tous les e-mails suspects réclamant la suspension d'un compte, des problèmes de connexion ou la perte du statut vérifié, car il s'agit probablement de tentatives de phishing visant à voler les identifiants de connexion.
En outre, les utilisateurs peuvent activer l'authentification à 2 facteurs à l'aide d'applications d'authentification ou de clés de sécurité matérielles pour protéger les comptes contre les connexions non autorisées.
Source : Ordinateur qui bipe
