La violation massive de données subie par Twitter, qui a révélé les e-mails et les numéros de téléphone de ses clients, a peut-être touché plus de cinq millions d’utilisateurs.
Fin juillet, un acteur menaçant a divulgué les données de 5,4 millions de comptes Twitter obtenus en exploitant une vulnérabilité désormais corrigée dans la plate-forme de médias sociaux populaire.
L’acteur de la menace a proposé à la vente les données volées sur le populaire forum de piratage Breached Forums. En janvier, un rapport publié sur Hacker a revendiqué la découverte d’une vulnérabilité pouvant être exploitée par un attaquant pour trouver un compte Twitter par le numéro de téléphone/e-mail associé, même si l’utilisateur a choisi de l’empêcher dans les options de confidentialité.
“La vulnérabilité permet à toute partie sans aucune authentification d’obtenir un identifiant twitter(ce qui équivaut presque à obtenir le nom d’utilisateur d’un compte) de n’importe quel utilisateur en soumettant un numéro de téléphone / e-mail même si l’utilisateur a interdit cette action dans les paramètres de confidentialité. Le bogue existe en raison du processus d’autorisation utilisé dans le client Android de Twitter, en particulier dans le processus de vérification de la duplication d’un compte Twitter. » lit le la description dans le rapport présenté par Jirinovski via la plateforme de bug bounty HackerOne. “Il s’agit d’une menace sérieuse, car les gens peuvent non seulement trouver des utilisateurs qui ont restreint la possibilité d’être trouvés par e-mail/numéro de téléphone, mais tout attaquant ayant une connaissance de base des scripts/codage peut énumérer une grande partie de la base d’utilisateurs Twitter indisponible. à l’énumération préalable (créer une base de données avec des connexions téléphone / e-mail à nom d’utilisateur). Ces bases peuvent être vendues à des parties malveillantes à des fins publicitaires ou dans le but de cibler des célébrités dans différentes activités malveillantes. »
Le vendeur a affirmé que la base de données contenait des données (c’est-à-dire des e-mails, des numéros de téléphone) d’utilisateurs allant de célébrités à des entreprises. Le vendeur a également partagé un échantillon de données sous la forme d’un fichier csv.
En août, Twitter a confirmé que la violation de données avait été causée par la faille zero-day maintenant corrigée soumise par les chercheurs. Jirinovski via la plateforme de bug bounty HackerOne et qu’il a reçu une prime de 5 040 $.
“Nous voulons vous informer d’une vulnérabilité qui permettait à quelqu’un d’entrer un numéro de téléphone ou une adresse e-mail dans le flux de connexion pour tenter de savoir si ces informations étaient liées à un compte Twitter existant, et si oui, quel compte spécifique .” lit l’avis de Twitter. “En janvier 2022, nous avons reçu un rapport via notre programme de primes de bogues concernant une vulnérabilité qui permettait à quelqu’un d’identifier l’e-mail ou le numéro de téléphone associé à un compte ou, s’il connaissait l’e-mail ou le numéro de téléphone d’une personne, il pouvait identifier son compte Twitter, s’il en existait un », poursuit l’entreprise de médias sociaux.
« Ce bogue résultait d’une mise à jour de notre code en juin 2021. Lorsque nous avons appris cela, nous avons immédiatement enquêté et corrigé. À ce moment-là, nous n’avions aucune preuve suggérant que quelqu’un avait profité de la vulnérabilité.
Cette semaine, le site Web 9to5mac.com a affirmé que la violation de données était un mot que ce qui avait été initialement signalé par la société. Le site Web rapporte que plusieurs acteurs de la menace ont exploité la même faille et que les données disponibles dans le sous-sol de la cybercriminalité ont des sources différentes.
“Un énorme Twitter violation de données l’année dernière, exposant plus de cinq millions de numéros de téléphone et d’adresses e-mail, était pire que ce qui avait été initialement annoncé. On nous a montré la preuve que le même Sécurité la vulnérabilité a été exploitée par plusieurs acteurs malveillants, et les données piratées ont été proposées à la vente sur le dark web par plusieurs sources. lit le Publier publié par 9to5mac.com
9to5MacLes affirmations de sont basées sur la disponibilité de l’ensemble de données contenant les mêmes informations dans un format différent proposé par un autre acteur menaçant. La source a déclaré au site Web que la base de données n’était “que l’un des nombreux fichiers qu’ils ont vus”. Il semble que les comptes impactés soient uniquement ceux ayant le «Découvrabilité | Option téléphone (ce qui est difficile à trouver dans les paramètres de Twitter) » activé fin 2021.
L’archive vue par 9to5Mac inclut des données appartenant aux utilisateurs de Twitter au Royaume-Uni, dans presque tous les pays de l’UE et dans certaines parties des États-Unis.
“J’ai obtenu plusieurs fichiers, un par code de pays de numéro de téléphone, contenant le numéro de téléphone Couplage du nom du compte Twitter pour l’espace de numéros de téléphone du pays entier de +XX 0000 à +XX 9999. la source a déclaré à 9to5Mac. “Tout compte Twitter qui avait la possibilité de découverte | L’option de téléphone activée fin 2021 était répertoriée dans l’ensemble de données.
Les experts spéculent que plusieurs acteurs de la menace ont eu accès à la base de données Twitter et l’ont combinée avec des données provenant d’autres failles de sécurité.
Le chercheur en sécurité derrière le compte @chadloder (Twitter après la divulgation de la nouvelle) a déclaré à 9to5Mac que “les appariements e-mail-twitter ont été dérivés en exécutant de grandes bases de données existantes de plus de 100 millions d’adresses e-mail via cette vulnérabilité de découverte de Twitter”.
Le chercheur a déclaré au site Web qu’il contacterait Twitter pour obtenir des commentaires, mais toute l’équipe des relations avec les médias a quitté l’entreprise.
METTRE À JOUR:
Mise à jour : Après avoir discuté avec mon collègue @sonoclaudio, nous avons remarqué que la publication sur le forum populaire sur les violations signale que les comptes 1.4 ont été suspendus. Maintenant, la question est de savoir pourquoi des mois après la suspension des comptes, les données étaient toujours présentes dans la base de données ? Quelle est la durée de conservation de Twitter ? Twitter viole-t-il le RGPD pour les utilisateurs européens ?
Suis moi sur Twitter: @affairesdesecurite et Facebook et Mastodonte
(Affaires de sécurité – piratage, Twitter)
Partager sur
