Un pirate a mis en vente une base de données permettant d’identifier l’adresse e-mail et, s’ils l’avaient confié à Twitter, le numéro de téléphone, de 5,4 millions de ses utilisateurs. La faille avait été notifiée en janvier 2022 et corrigée dans la foulée, mais le piratage daterait de décembre 2021.
Twitter vient de reconnaître qu’une faille de sécurité, identifiée et colmatée en janvier dernier, a permis à un acteur malveillant de mettre en vente sur Breached Forums une base de données de 5,4 millions d’utilisateurs identifiables à partir de leurs adresses e-mail ou numéros de téléphone.
La faille, qui affectait le client Android de Twitter, avait été notifiée sur la plateforme de bug bounty HackerOne le 6 janvier, corrigée par Twitter le 13, et divulguée le 11 février.
Elle avait valu à son découvreur une prime de 5 040 dollars, au motif qu’elle permettait à un attaquant de « trouver un compte Twitter par son numéro de téléphone/e-mail même si l’utilisateur l’a interdit dans les options de confidentialité » :
« Il s’agit d’une menace sérieuse, car […] n’importe quel attaquant ayant des connaissances de base en script/développement peut énumérer une grande partie de la base d’utilisateurs de Twitter inaccessible autrement (créer une base de données avec des connexions entre téléphone/email et nom d’utilisateur). »
Le découvreur de la faille soulignait en outre que « ces bases peuvent être vendues à des acteurs malveillants à des fins publicitaires ou pour étiqueter des célébrités dans le cadre de différentes activités malveillantes », ainsi que pour retrouver les identifiants de comptes Twitter suspendus.
Le 21 juillet dernier, Restore Privacy révélait qu’un certain « devil » venait de mettre en vente une base de données de 5,4 millions d’utilisateurs de Twitter (dont des célébrités) incluant leurs adresses mail et numéros de téléphone, pour « au moins 30 000 dollars ».