• Buzz chaud du moment
  • Buzz chaud du moment
Actualités

“Ce bug résulte d’une mise à jour de notre code en Juin 2021” : Twitter essuie un reliquat de brèche sécuritaire, à hauteur 5 485 636 comptes-utilisateurs !

En Janvier 2022, HackerOne fait état d’une vulnérabilité dans Twitter qui permettait de trouver, sans authentification aucune, le numéro de téléphone ou le mail de l’utilisateur, y compris pour les comptes où l’option était prohibée par l’utilisateur. Résultante d’une étape sécuritaire de vérification (pour vérifier les doublons éventuels) qui se voulait vertueuse, cette faille, après un premier correctif de Twitter à l’époque, avait refait surface en Juillet 2022 avec la confirmation qu’un nombre de comptes (sans en préciser le chiffre exact) avait été impacté. Avec cette seconde vague venait les recommandations du réseau social (l’activation de la double-authentification, notamment)… jusqu’à un nouvel épisode insécuritaire, en Novembre 2022, alors que les données de ces comptes étaient proposés à la revente, depuis un forum spécialisé.

 

 

Cette proposition de vente faisait état, au 23 Novembre 2022, du lot de 5 485 636 comptes-utilisateur additionné de quelques 1,4 millions de comptes suspendus, ramenant la collection de données à 6,7 M de comptes ou de lignes d’enregistrements environ. Cela comprend :

 

  • les pseudos,
  • les noms complets,
  • les biographies,
  • les localisations renseignées,
  • les adresses mails et,
  • les numéros de téléphone.

 

 

“Il s’agit d’une menace sérieuse, car les utilisateurs peuvent non seulement trouver des utilisateurs qui ont désactivé la possibilité de découverte par e-mail/numéro de téléphone, mais tout attaquant ayant une connaissance de base des scripts/codage peut énumérer une grande partie de la base d’utilisateurs de Twitter indisponible pour l’énumération préalable (créer une base de données avec des connexions téléphone / e-mail à nom d’utilisateur). Ces bases peuvent être vendues à des parties malveillantes à des fins publicitaires ou dans le but de cibler des célébrités dans différentes activités malveillantes“, alertait, déjà, en Janvier 2022, Zhirinovskiy (HackerOne).

Selon les investigations de 9to5Mac, qui a pu tester un échantillon de cette base de données, l’ensemble repose sur un ensemble de plusieurs manquements sécuritaires et impactant les comptes-utilisateurs aux Etats-Unis, au Royaume-Uni et en Europe. Même s’il est confirmé que l’aspiration peut avoir lieu sans activer l’option (compte) d’affichage du numéro de téléphone, la base de données confirme bel et bien que l’activation de ladite option permet une ex-filtration facilitée pour les comptes l’ayant activé  “plus tard en 2021“. Cette collection, par ailleurs, est proposée à la revente “par des sources multiples” pour un prix avoisinant les 5 000 dollars USD au Royaume-Uni. Pour l’heure, pas de communiqué ou de commentaires émanant du réseau social… A suivre !

 

 

 

Sources :

 

 

 

50% J'apprécieVS
50% Je n'apprécie pas



  • Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2023 - v1.15.0