En plus des 5,4 millions d’enregistrements en vente en ligne, il y avait 1,4 million de profils Twitter supplémentaires collectés à l’aide d’une interface de programmation d’application (API) Twitter différente qui auraient été partagées en privé entre quelques personnes.
Les données massives se composent d’informations publiques récupérées ainsi que de numéros de téléphone et d’adresses e-mail privés qui ne sont pas censés être publics, rapporte Bleeping Computer.
L’exposition des données est intervenue à un moment où Musk a révélé son Twitter 2.0 – The Everything App, affirmant que les nouvelles inscriptions d’utilisateurs étaient à un niveau record et que l’entreprise recrutait activement. L’expert en sécurité Chad Loder a d’abord annoncé la nouvelle sur Twitter et a été rapidement suspendu de la plateforme.
“Je viens de recevoir des preuves d’une violation massive des données Twitter affectant des millions de comptes Twitter dans l’UE et aux États-Unis. J’ai contacté un échantillon des comptes concernés et ils ont confirmé que les données piratées sont exactes. Cette violation s’est produite au plus tôt en 2021. “, avait posté Loder sur Twitter.
Découvrez les histoires qui vous intéressent
Les données contenant des informations non publiques ont été volées à l’aide d’un correctif de vulnérabilité de l’API Twitter en janvier de cette année.
Ces données ont été collectées en décembre 2021 à l’aide d’une vulnérabilité de l’API Twitter divulguée dans le programme de primes de bogues HackerOne, a indiqué dimanche le rapport.
La plupart des données consistaient en des informations publiques, telles que des identifiants Twitter, des noms, des noms de connexion, des emplacements et un statut vérifié.
Il comprenait également des informations privées, telles que des numéros de téléphone et des adresses e-mail.
Musk ou Twitter n’ont pas encore commenté le rapport.
Pompompurin, le propriétaire du forum de piratage Breached, a déclaré à BleepingComputer qu'”ils étaient responsables de l’exploitation du bogue et de la création du vidage massif des enregistrements d’utilisateurs de Twitter après qu’un autre acteur menaçant connu sous le nom de ‘Devil’ ait partagé la vulnérabilité avec eux”, mentionne le rapport.
Alors que les pirates ont publié 5,4 millions d’enregistrements en ligne, un vidage de données encore plus important aurait été créé en utilisant la même vulnérabilité, selon le rapport.
“On nous a dit qu’il s’agissait de plus de 17 millions d’enregistrements, mais nous n’avons pas pu le confirmer de manière indépendante”, indique le rapport.