Un pirate a mis en vente une base de données permettant d'identifier l'adresse e-mail et, s'ils l'avaient confié à Twitter, le numéro de téléphone, de 5,4 millions de ses utilisateurs. La faille avait été notifiée en janvier 2022 et corrigée dans la foulée, mais le piratage daterait de décembre 2021.
Twitter vient de reconnaître qu'une faille de sécurité, identifiée et colmatée en janvier dernier, a permis à un acteur malveillant de mettre en vente sur Breached Forums une base de données de 5,4 millions d'utilisateurs identifiables à partir de leurs adresses e-mail ou numéros de téléphone.
La faille, qui affectait le client Android de Twitter, avait été notifiée sur la plateforme de bug bounty HackerOne le 6 janvier, corrigée par Twitter le 13, et divulguée le 11 février.
Elle avait valu à son découvreur une prime de 5 040 dollars, au motif qu'elle permettait à un attaquant de « trouver un compte Twitter par son numéro de téléphone/e-mail même si l'utilisateur l'a interdit dans les options de confidentialité » :
« Il s'agit d'une menace sérieuse, car [...] n'importe quel attaquant ayant des connaissances de base en script/développement peut énumérer une grande partie de la base d'utilisateurs de Twitter inaccessible autrement (créer une base de données avec des connexions entre téléphone/email et nom d'utilisateur). »
Le découvreur de la faille soulignait en outre que « ces bases peuvent être vendues à des acteurs malveillants à des fins publicitaires ou pour étiqueter des célébrités dans le cadre de différentes activités malveillantes », ainsi que pour retrouver les identifiants de comptes Twitter suspendus.
Le 21 juillet dernier, Restore Privacy révélait qu'un certain « devil » venait de mettre en vente une base de données de 5,4 millions d'utilisateurs de Twitter (dont des célébrités) incluant leurs adresses mail et numéros de téléphone, pour « au moins 30 000 dollars ».
Source : RestorePrivacy.com
Le vendeur explique à BleepingComputer avoir exploité la faille en décembre 2021, et donc avant qu'elle ne soit corrigée, sans que l'on comprenne pourquoi il avait attendu aussi longtemps pour mettre en vente la base de données.
La vulnérabilité, qui résultait d'une mise à jour datant de juin 2021, serait similaire à celle qui avait permis de récupérer les données du compte Facebook de 533 millions d'utilisateurs en 2021.
Twitter explique qu'il n'avait jusque-là « aucune preuve suggérant que quelqu'un avait profité de la vulnérabilité », et rappelle, bien qu'aucun mot de passe n'ait été compromis, l'importance de l'authentification à 2 facteurs, à mesure que des pirates pourraient utiliser les adresses e-mail et les numéros de téléphone dans des attaques de phishing ciblées.
Le réseau social précise en outre qu'il informe désormais « directement les propriétaires de compte que nous pouvons confirmer avoir été affectés par ce problème » :
« Si vous exploitez un compte Twitter pseudonyme, nous comprenons les risques qu'un incident comme celui-ci peut introduire et regrettons profondément que cela se soit produit. Pour garder votre identité aussi discrète que possible, nous vous recommandons de ne pas ajouter de numéro de téléphone ou d'adresse e-mail publics à votre compte Twitter. »
L'annonce a depuis été effacée sur Breached Forums, sans que l'on sache si la base de données a bien été vendue. L'échantillon fourni ne portait que sur 9 utilisateurs, dont 2 seulement avaient renseigné leur numéro de téléphone.
Le site avait déjà fait la « Une » de médias début juillet après qu'un autre pirate y mit en vente une base de données de plus d'un milliard de résidents chinois.
Twitter n'explique pas pourquoi il a mis 15 jours à communiquer à ce sujet alors que, comme le souligne Lukasz Olejnik dans sa newsletter, cette fuite de données serait l'une des plus importantes depuis que le RGPD a été adopté.
Commentaires (28)
#1
L’entreprise n’aura cependant pas manqué de notifier la CNIL et ses homologues dans les 72h, n’est-ce pas…?
#2
Mise à part communiquer, que peux faire Twitter face à l’exploitation d’une faille déjà corrigée ?
Je veux dire … les gens vont pas tous s’amuser à changer de mail et numéro de téléphone …
#3
quel est l’intérêt de donner son n° de téléphone à twitter ?
#3.1
C’était la base de Twitter, Il y avait une fonction “twitte par sms”
#3.2
Parfois twitter bloquait des fonctionnalités voir ton compte si tu n’y associait pas ton numéro de téléphone.
Pendant longtemps il a même été obligatoire pour l’authentification à 2 facteurs.
#4
Il n’y avait pas le choix à une époque pour activer la double authentification (même si on n’utilisait pas l’authentification par SMS mais des appli style Google Authenticator…)
#5
Ah ok,
je pensais à un choix de l’utilisateur.
merci
#6
Deux choses me font réagir à cette annonce de Twitter:
1) Manque d’investigations de la part de Twitter
Pourquoi donc Twitter a-t’il attendu la publication d’une fuite de données sur Breached pour entreprendre les investigations sur l’usage de la faille antérieurement à janvier 2022 ? En effet, en cas de découverte d’une faille, une structure ayant autant de comptes se doit d’établir si ladite faille a été exploitée … Il apparaît peu semblable qu’un exploit d’usage collectant 3% des comptes ne soit pas identifiable dans une analyse fine des logs D’ailleurs le délai de 15j semble montrer que Twitter a attendu de pouvoir investiguer sur la véracité de la fuite, très certainement en établissant cette analyse
2) Trop faible financement du BugBounty
L’écart est de X6 entre le montant de la prime octroyée par Twitter à l’auteur(rice) de la découverte de la faille et le hacker qui revend son usage. Quel est le plus lucratif : remonter des failles à Twitter ou monétiser leur usage pour vendre des données ?
Une société qui fait 221 M$ de bénéfices devrait afin d’assurer la protection des données de ses utilisateurs payer plus cher une remontée de faille que ce qui pourrait résulter de son usage.
#7
Donc en clair si on te braque arme au poing au distributeur de billets en te demandant de retirer 500 bourzouf, tu es prêt à payer, disons, 600 bourzouf pour ne pas te faire braquer ?
#8
Comparaison n’est pas raison.
En l’occurence, Twitter, c’est la banque, pas l’usager.
Ce n’est pas à l’usager de sécuriser les distributeurs automatiques de billets (DAB).
#9
Enfin une base qu’on peut utiliser pour évaluer le nombre de vrais/faux comptes sur twitter.
#ElonMusk #IronMan #NousSachons
#9.1
#9.2
Effectivement si il a récupéré l’ensemble des utilisateurs actif android, c’est très maigre comme quantité de gens.
Le faible prix de la vente c’est sans doute qu’il ne doit pas y avoir beaucoup de célébrité ni de gens riche dans cette base de donnés, ils sont touts sur iphone, non ?
#10
5 040 dollars ça me semble vraiment ridicule pour une faille aussi critique,
#10.1
Je pense que la récompense n’est pas en fonction de la criticité de la faille mais plutôt de sa complexité, non ?
#10.2
En même temps, je me souviens que fin des 90’s, j’ai signalé 2 bugs que j’ai bien documentés à Netscape.
Ma récompense a été un polo.
#10.3
Peut-être que ton polo est collector et vaut plus que 5 040 $.
#11
Hein ? Quoi ? … ahhhh ok, ok, ok, vrai que ma comparaison est pourrie, mais une comparaison pourrie ne fait pas un argument pourri. Comme on dit, le sage, la lune, le doigt, et cætera.
Je maintiens que si <insert any web company name here> assurait la protection des données des utilisateurs en ayant comme politique de sécurité de payer plus cher les bug bounties que ce qu’un black hat peut espérer comme gain en revendant les données au marché noir alors cette « méthode » de sécurité correspondrait à intégrer le chantage inversé des black hats.
Même la Mafia, à l’époque d’Al Capone himself envoyait des gros bras chez les commerçants pour collecter les primes « d’assurance pour leur protection ». Mais à écouter @FabianRODES en le prenant au pied de la lettre, désormais il faudrait que le commerçant (ici, = Twitter) paye de lui-même, de sa propre initiative, volontairement, avec la main sur le cœur, avec le sourire, et rubis sur l’ongle…
Et donc toi ça te semble être une idée normalement et raisonnablement proportionnée ?
#12
“Twitter explique qu’il n’avait jusque-là « aucune preuve suggérant que quelqu’un avait profité de la vulnérabilité »”
Ça fait une belle jambe aux utilisateurs qui voient leurs coordonnées dans la nature.
#13
Il doit valoir à peu près autant que mon sweat VIA collector (gagné dans un concours VIA), soit pas grand chose vu que plus grand monde ne connaît
#13.1
Attends encore 2 ou 3 ans, ça va devenir top vintage.
#14
J’aime bien cette manière de retomber sur ses pattes : bon okay, c’est tout foireux ma comparaison mais c’est à toi de faire l’effort de comprendre ce que j’ai voulu dire …
Je ne sais plus qui disait : ce qui se conçoit clairement, s’énonce clairement. Et toc !
Là encore, comparaison un peu à côté de la plaque. Twitter n’est pas sans protection. Il bâtit sa propre muraille. Il dit juste que si quelqu’un trouve une faille dans sa muraille, il préfère payer le découvreur pour savoir où aller mettre du ciment plutôt que le type s’introduise par le trou. Le commerçant n’avait pas de muraille. Et Al Capone lui disait : soit je te vole, soit tu me paies pour que je ne te vole pas et que personne d’autre ne te vole.
Je ne me suis pas prononcé sur le bien fondé de la récompense à la chasse aux bugs, j’ai juste trouvé ta comparaison inappropriée.
#15
De la à dire que la fuite est due au fait que Twitter etait devenue un Elon … Must
Je sors.
#16
Raté, il ne répète pas “clairement”.
« Ce qui se conçoit bien s’ennonce clairement, et les mots pour le dire viennent aisément. »
C’est de Nicolas Boileau-Després, mais attention c’est à double-très-tranchant : la connerie aussi se conçoit bien pour ceux qui s’y adonnent, et souvent ils ne manquent pas de mots pour l’exprimer.
Quand à faire l’effort de comprendre, ben oui très cher, je ne fais pas l’inception de pensées par rêve artificiel aussi bien que DiCaprio.
Ah ? Et la porte de sa boutique, c’est pas une protection suffisante signifiant que le contenu de la boutique n’est pas en libre service ?
Pourtant ça empêche plus de 99,999% des gens de voler. Pas besoin que toutes les boutiques soient des chambres fortes de banques…
Et puis cette comparaison avec la Mafia était à propos du chantage / chantage inversé ; pas à propos de la sécurité des boutiques. Et c’était clair.
Elle ne l’est pas, et ta phrase ci-dessus le prouve encore : tu emploies le mot “récompense”, or si c’est une récompense alors c’est à celui qui récompense d’en décider le montant, et non pas à un marché noir des données volées puisque dans ce cas cela s’appellerait une “rançon”. Donc ce serait du chantage inversé, comme je disais.
NB: ça s’appelle des jambes, pas des pattes
#17
Non. L’expression est une allusion aux chats, qui ont bien des pattes.
#17.1
J’suis pas un chat, d’acc’ avec l’nœud pap’ ça prête à confusion, mais r’garde bien les oreilles et l’tarin :
#18
Donc, revenons à des choses plus terre à terre :
https://breached.to permet de vendre publiquement le résultat de hacks et autres choses douteuses. Même plus besoin d’aller sur le DarkWeb. LOL.
Ils sont planqués tranquillement chez CLOUDFLARENET !
Bon, certains vont encore me sortir un truc sur la liberté d’expression, de penser, de chercher…
#19
*Twitter n’explique pas pourquoi il a mis 15 jours à communiquer à ce sujet alors que, comme le souligne Lukasz Olejnik dans sa newsletter, cette fuite de données serait l’une des plus importantes depuis que le RGPD a été adopté.
*
parcequ’ils sont obligés mais que sinon ils n’auraient jamais communiqué dessus?