Twitter : les données personnelles de 5,4 millions d’utilisateurs sont en vente pour 30 000 dollars
Une faille de sécurité de Twitter découverte au début de l'année 2022 a été utilisée pour récupérer les données des comptes de 5,4 millions d’utilisateurs, et le pirate propose l'ensemble sur le marché pour 30 000 dollars.
Alors que Twitter a récemment été chamboulé par la tentative de rachat d’Elon Musk, qui a finalement retiré son offre avant que l’entreprise américaine ne l’attaque en justice, le réseau social est désormais confronté à une importante violation de données. En effet, une faille de sécurité de Twitter a permis à des pirates d'accéder aux données personnelles de 5,4 millions de comptes.
Les données, qui comprennent des pseudos Twitter, des numéros de téléphone et des adresses, ont été mises en vente sur un forum de piratage, pour 30 000 dollars. La somme demandée n’est donc pas très élevée. Plus tôt cette année, ce sont les données d’un million de Français qui avaient été mises en vente pour 6000 dollars. D’autres pirates avaient même réussi à voler les données personnelles d’un milliard de résistants chinois, et celles-ci avaient été proposées à seulement 200 000 dollars.
La faille de sécurité que les hackeurs ont utilisée était connue depuis le début de l’année
Restore Privacy a déclaré dans un article que la violation des données a été rendue possible par une faille de sécurité de Twitter découverte en janvier dernier. À l’époque, le site HackerOne avait signalé un bug qui permettait à un attaquant d'obtenir le numéro de téléphone et/ou l'adresse électronique d'un membre de Twitter, même si celui-ci a masqué ces champs dans les paramètres de confidentialité de son compte.
Le bug aurait comme origine le processus d'autorisation utilisé dans le client Android de Twitter, spécifiquement dans le processus de vérification des comptes Twitter dupliqués. Dans le post, l'utilisateur a également expliqué comment la faille pouvait être reproduite. Twitter avait finalement reconnu la vulnérabilité comme un « problème de sécurité légitime » et avait offert une récompense de 5040 dollars au chercheur de HackerOne dans le cadre de son programme de Bug Bounty.
Heureusement pour les utilisateurs, la base de données mise en vente ne semble pas inclure de mots de passe. Quoi qu’il en soit, on vous rappelle que vos données personnelles se promènent chaque jour un peu partout sur le Web, et celles-ci sont mises aux enchères environ 376 fois par jour en moyenne.
Source : Restore Privacy