FAILLE TWITTER
Un pirate a mis en vente une base de données permettant d’identifier l’adresse e-mail et, s’ils l’avaient confié à Twitter, le numéro de téléphone, de 5,4 millions de ses utilisateurs. La faille avait été notifiée en janvier 2022 et corrigée dans la foulée, mais le piratage daterait de décembre 2021.
Twitter vient de reconnaître qu’une faille de sécurité, identifiée et colmatée en janvier dernier, a permis à un acteur malveillant de mettre en vente sur Breached Forums une base de données de 5,4 millions d’utilisateurs identifiables à partir de leurs adresses e-mail ou numéros de téléphone.
La faille, qui affectait le client Android de Twitter, avait été notifiée sur la plateforme de bug bounty HackerOne le 6 janvier, corrigée par Twitter le 13, et divulguée le 11 février.
Elle avait valu à son découvreur une prime de 5 040 dollars, au motif qu’elle permettait à un attaquant de « trouver un compte Twitter par son numéro de téléphone/e-mail même si l’utilisateur l’a interdit dans les options de confidentialité » :
« Il s’agit d’une menace sérieuse, car […] n’importe quel attaquant ayant des connaissances de base en script/développement peut énumérer une grande partie de la base d’utilisateurs de Twitter inaccessible autrement (créer une base de données avec des connexions entre téléphone/email et nom d’utilisateur). »
Le découvreur de la faille soulignait en outre que « ces bases peuvent être vendues à des acteurs malveillants à des fins publicitaires ou pour étiqueter des célébrités dans le cadre de différentes activités malveillantes », ainsi que pour retrouver les identifiants de comptes Twitter suspendus.
Le 21 juillet dernier, Restore Privacy révélait qu’un certain « devil » venait de mettre en vente une base de données de 5,4 millions d’utilisateurs de Twitter (dont des célébrités) incluant leurs adresses mail et numéros de téléphone, pour « au moins 30 000 dollars ».
Mots-clés : cybersécurité, sécurité informatique, protection des données, menaces cybernétiques, veille cyber, analyse de vulnérabilités, sécurité des réseaux, cyberattaques, conformité RGPD, NIS2, DORA, PCIDSS, DEVSECOPS, eSANTE, intelligence artificielle, IA en cybersécurité, apprentissage automatique, deep learning, algorithmes de sécurité, détection des anomalies, systèmes intelligents, automatisation de la sécurité, IA pour la prévention des cyberattaques.
Bots et IA biaisées : une menace silencieuse pour la cybersécurité des entreprises Introduction Les…
Cloudflare en Panne : Causes Officielles, Impacts et Risques pour les Entreprises Le 5 décembre…
Introduction La cybersécurité est aujourd’hui une priorité mondiale. Récemment, la CISA (Cybersecurity and Infrastructure Security…
La transformation numérique face aux nouvelles menaces Le cloud computing s’impose aujourd’hui comme un…
Les attaques par déni de service distribué (DDoS) continuent d'évoluer en sophistication et en ampleur,…
Face à l'adoption croissante des technologies d'IA dans les PME, une nouvelle menace cybersécuritaire émerge…
This website uses cookies.