“Ce bug résulte d’une mise à jour de notre code en Juin 2021” : Twitter essuie un reliquat de brèche sécuritaire, à hauteur 5 485 636 comptes-utilisateurs !

En Janvier 2022, HackerOne fait état d’une vulnérabilité dans Twitter qui permettait de trouver, sans authentification aucune, le numéro de téléphone ou le mail de l’utilisateur, y compris pour les comptes où l’option était prohibée par l’utilisateur. Résultante d’une étape sécuritaire de vérification (pour vérifier les doublons éventuels) qui se voulait vertueuse, cette faille, après un premier correctif de Twitter à l’époque, avait refait surface en Juillet 2022 avec la confirmation qu’un nombre de comptes (sans en préciser le chiffre exact) avait été impacté. Avec cette seconde vague venait les recommandations du réseau social (l’activation de la double-authentification, notamment)… jusqu’à un nouvel épisode insécuritaire, en Novembre 2022, alors que les données de ces comptes étaient proposés à la revente, depuis un forum spécialisé.

Cette proposition de vente faisait état, au 23 Novembre 2022, du lot de 5 485 636 comptes-utilisateur additionné de quelques 1,4 millions de comptes suspendus, ramenant la collection de données à 6,7 M de comptes ou de lignes d’enregistrements environ. Cela comprend :

• les pseudos,
• les noms complets,
• les biographies,
• les localisations renseignées,
• les adresses mails et,
• les numéros de téléphone.

“Il s’agit d’une menace sérieuse, car les utilisateurs peuvent non seulement trouver des utilisateurs qui ont désactivé la possibilité de découverte par e-mail/numéro de téléphone, mais tout attaquant ayant une connaissance de base des scripts/codage peut énumérer une grande partie de la base d’utilisateurs de Twitter indisponible pour l’énumération préalable (créer une base de données avec des connexions téléphone / e-mail à nom d’utilisateur). Ces bases peuvent être vendues à des parties malveillantes à des fins publicitaires ou dans le but de cibler des célébrités dans différentes activités malveillantes“, alertait, déjà, en Janvier 2022, Zhirinovskiy (HackerOne).

Selon les investigations de 9to5Mac, qui a pu tester un échantillon de cette base de données, l’ensemble repose sur un ensemble de plusieurs manquements sécuritaires et impactant les comptes-utilisateurs aux Etats-Unis, au Royaume-Uni et en Europe. Même s’il est confirmé que l’aspiration peut avoir lieu sans activer l’option (compte) d’affichage du numéro de téléphone, la base de données confirme bel et bien que l’activation de ladite option permet une ex-filtration facilitée pour les comptes l’ayant activé  “plus tard en 2021“. Cette collection, par ailleurs, est proposée à la revente “par des sources multiples” pour un prix avoisinant les 5 000 dollars USD au Royaume-Uni. Pour l’heure, pas de communiqué ou de commentaires émanant du réseau social… A suivre !

Sources :

• 9to5Mac – 25 Novembre 2022 – Twitter : faille sécuritaire de 2021 qui refait surface (plus de 5,4 M de comptes impactés + revente sur les forums et revendeurs spécialisés des données-utilisateurs de l’Europe, du Royaume-Uni, des Etats-Unis) ;

• SecurityAffairs – 26 Novembre 2022 – Twitter : faille sécuritaire de 2021 qui refait surface (plus de 5,4 M de comptes impactés + source de forum spécialisé dans la revente de données-utilisateur) ;

• HackerOne – Janvier 2022 – Twitter : faille sécuritaire permettant, sans authentification aucune, de trouver le numéro de téléphone ou le mail-utilisateur ;

• Twitter (Centre Vie Privée) – 5 Août 2022 – Avis sécuritaire sur une brèche (bug des suites d’une mise à jour de Juin 2021).

Signaler une erreur

Raison: *
Erreur(s) dans l'informationFaute(s) d'orthographe(s)

Votre nom: *

Votre email: *

Détails: *

Envoyer votre message