Que souhaitez-vous savoir
- Une vulnérabilité que Twitter prétendait avoir corrigée pourrait avoir entraîné la compromission de millions de données d'utilisateurs.
- Plus de 5,4 millions d'enregistrements d'utilisateurs de Twitter auraient été partagés gratuitement sur un forum de piratage.
- La même vulnérabilité aurait également engendré un vidage de données plus important contenant "des dizaines de millions" de données utilisateur.
Une ancienne vulnérabilité qui, selon Twitter, a été corrigée plus tôt cette année continue de hanter le réseau social société de médias, et il semble avoir des implications de sécurité beaucoup plus graves que nous initialement soupçonné.
BipOrdinateur rapporte que les informations personnelles d'environ 5,4 millions d'utilisateurs de Twitter volées à la suite d'une vulnérabilité d'API ont été librement partagées sur un forum de pirates. Cela semble être le même vidage de données qu'un pirate informatique aurait vendu en août pour 30 000 $.
En résumé, Twitter confirmé en août l'existence d'une vulnérabilité API
cela permettrait aux pirates d'identifier à quel compte une adresse e-mail ou un numéro de téléphone était associé, exposant potentiellement la véritable identité de comptes pseudonymes. Cependant, la société a alors déclaré qu'elle n'avait trouvé aucune preuve que cette faille ait jamais été exploitée.Le nouveau rapport BleepingComputer indique que non seulement ce vidage de données est proposé gratuitement sur un forum de pirates, mais que d'autres ensembles de données volées ont également émergé de la même vulnérabilité. Pompompurin, propriétaire du forum de piratage connu sous le nom de Breached, a déclaré à BleepingComputer avoir créé le vidage des données après avoir exploité le bogue. Ils ont également admis que la vulnérabilité avait été obtenue à l'origine d'un autre pirate connu sous le nom de "Devil".
En plus des 5,4 millions d'enregistrements d'utilisateurs, Pompompurin revendique la responsabilité d'obtenir 1,4 million de profils Twitter pour les comptes suspendus. Le pirate a affirmé que ce vidage de données avait été obtenu à l'aide d'une autre API, bien qu'il n'ait été partagé en privé qu'avec quelques personnes.
Cependant, d'autres personnes peuvent avoir exploité la vulnérabilité de l'API. L'expert en sécurité Chad Loder a révélé que des dizaines de millions de données d'utilisateurs de Twitter pourraient avoir été obtenues à l'aide de la même API. Ce vidage de données comprend apparemment des numéros de téléphone personnels ainsi que des informations publiques telles que les noms de compte et l'identifiant Twitter.
Loder a partagé un échantillon expurgé dudit ensemble de données sur Mastodon, car il a été banni sur Twitter peu de temps après avoir publié les mêmes informations. Les comptes Twitter concernés seraient basés dans l'UE et aux États-Unis, et la violation "ne s'est apparemment pas produite plus tôt que 2021." BleepingComputer a appris que le vidage de données contenait plus de 17 millions d'enregistrements, bien qu'il n'ait pas pu confirmer ce.
Selon BleepingComputer, il a pu valider l'authenticité des numéros de téléphone divulgués et a découvert qu'il s'agissait d'enregistrements distincts du précédent trésor de données. Cela implique que la violation de données est plus importante qu'on ne le pensait auparavant.
Android Central a contacté Twitter pour un commentaire et mettra à jour cet article lorsque nous aurons de nouvelles.