Twitter a confirmé qu’une grave vulnérabilité du système, permettant à un pirate de voler des informations sensibles telles que le numéro de téléphone et l’adresse électronique d’un compte, a été exploitée au début de l’année, mais qu’elle a maintenant été corrigée. La vulnérabilité était associée au flux de connexion de Twitter, où un mauvais acteur pouvait saisir un numéro de téléphone ou une adresse électronique et découvrir quel compte Twitter y était associé.
La plateforme a été informée de l’incident en janvier 2022, et un correctif a été immédiatement publié, mais pas avant qu’il n’ait été utilisé pour voler les données de 5,4 millions de comptes. Twitter affirme qu’aucun mot de passe n’a été divulgué dans le cadre du piratage, mais l’entreprise doit encore identifier tous les comptes concernés. L’entreprise va contacter les comptes dont elle sait qu’ils ont été ciblés, en informant les propriétaires que les données de leur compte ont été mises en vente sur un forum du dark web.
Si 5,4 millions de comptes sont un chiffre stupéfiant en soi, les risques sont élevés pour les comptes pseudonymes qui veulent cacher leur identité pour diverses raisons. Le meilleur exemple est celui des comptes de dénonciateurs, qui risquent d’être victimes de représailles de la part d’entreprises et d’organismes publics.
En janvier, un expert en cybersécurité portant le nom d’utilisateur « zhirinovskiy » a signalé une vulnérabilité de Twitter sur le forum HackerOne. L’utilisateur a expliqué en détail le fonctionnement de la vulnérabilité du pipeline de connexion et la facilité avec laquelle elle pouvait être exécutée en quelques étapes. L’élément clé est qu’en utilisant simplement un numéro de téléphone ou une adresse électronique, une partie malveillante peut découvrir le compte Twitter lié. La faille a été découverte dans l’application Android de Twitter.
Environ deux semaines plus tard, un employé de Twitter a confirmé que le problème avait été corrigé et a également attribué un bug bounty d’une valeur de 5 040 dollars à zhirinovskiy pour avoir trouvé et aidé à corriger le « problème de sécurité valide ». Cependant, le correctif est arrivé trop tard. Selon Restore Privacy, un acteur malveillant répondant au nom d’utilisateur « devil » avait déjà exploité la faille de sécurité pour récupérer les données de 54 85 636 comptes Twitter.
Les données volées ont ensuite été mises en vente sur la célèbre communauté de pirates du dark web appelée Breached Forums. L’authenticité des données a été vérifiée par le hacker ainsi que par les experts de Restore Privacy. Il est intéressant de noter que le pirate a demandé la somme dérisoire de 30 000 dollars pour les données appartenant à plus de 5,4 millions de comptes Twitter.
Twitter a également authentifié les informations divulguées et confirmé que la fuite était légitime. Selon BleepingComputer, deux parties ont en fait acheté les données volées des utilisateurs, dans l’intention de les diffuser gratuitement sur Internet. Twitter, quant à lui, demande aux utilisateurs de prendre des mesures de sécurité préventives, comme l’activation de l’authentification à deux facteurs ou l’utilisation de clés de sécurité matérielle, pour assurer la sécurité de leurs comptes.
Il est intéressant de noter que ce n’est pas le premier incident de sécurité de ce type pour Twitter. Indépendamment de l’ampleur de la dernière violation, les risques sont bien réels.
