Sur Twitter, une violation de données a permis à des pirates d’intercepter les coordonnées de 5,4 millions d’utilisateurs. Une base de données vendue 30 000 dollars sur un forum de hackers.
Twitter n’échappe pas aux failles de sécurité. Dernièrement, une vulnérabilité repérée en janvier a été exploitée par des individus malveillants. Si la faille a été corrigée par Twitter depuis, les pirates ont réussi à mettre la main sur les coordonnées de 5,4 millions de comptes. Une grosse base de données qui a ensuite été mise en vente sur le forum de piratage Breached Forums.
Cette faille permettait à un attaquant d’obtenir le numéro de téléphone et/ou l’adresse e-mail associés aux comptes Twitter. Et ce même si l’utilisateur avait masqué ces champs dans les paramètres de confidentialité. Sur le forum, la publication proposant d’acheter la base de données a été postée par un certain “devil”. Ce dernier atteste que son fichier intègre notamment les données de célébrités, d’entreprises, d’organisations, etc.
À lire > Twitter a laissé fuiter des données de localisation d’utilisateurs iOS
Twitter : des identifiants de célébrités dans la base de données
Contacté par Restore Privacy, le vendeur précise vouloir vendre la base de données “pas à moins de 30 000 dollars”. Et d’expliquer que celle-ci est tombée entre ses mains à cause de “l’incompétence de Twitter”. À l’origine du rapport de bug, l’utilisateur du forum HackerOne, “zhirinovskiy”, estimait à l’époque qu’il s’agissait d’une “menace sérieuse”, les attaquants pouvant créer des bases de données liant le nom d’utilisateur avec le numéro de téléphone et l’e-mail.
Et de les vendre ensuite à des personnes malveillantes à des fins publicitaires ou pour cibler des célébrités. Par la suite, Twitter avait accordé une prime de 5040 dollars à “zhirinovskiy” pour sa trouvaille qui a permis au réseau social de résoudre le problème. Et des mois plus tard, force est de constater que les craintes du lanceur d’alerte se sont concrétisées.
Il n’existe pour le moment aucun moyen de savoir si votre compte Twitter a été visé par cette violation de données, payer la somme demandée n’étant évidemment pas une option. Dès lors, restez notamment vigilants face aux attaques de phishing. Règle d’or : n’ouvrez aucun lien envoyé dans un e-mail ou un SMS dont la provenance est douteuse.
Source : Restore Pivacy