Un pirate a mis en vente une base de données permettant d'identifier l'adresse e-mail et, s'ils l'avaient confié à Twitter, le numéro de téléphone, de 5,4 millions de ses utilisateurs. La faille avait été notifiée en janvier 2022 et corrigée dans la foulée, mais le piratage daterait de décembre 2021.
Twitter vient de reconnaître qu'une faille de sécurité, identifiée et colmatée en janvier dernier, a permis à un acteur malveillant de mettre en vente sur Breached Forums une base de données de 5,4 millions d'utilisateurs identifiables à partir de leurs adresses e-mail ou numéros de téléphone.
La faille, qui affectait le client Android de Twitter, avait été notifiée sur la plateforme de bug bounty HackerOne le 6 janvier, corrigée par Twitter le 13, et divulguée le 11 février.
Elle avait valu à son découvreur une prime de 5 040 dollars, au motif qu'elle permettait à un attaquant de « trouver un compte Twitter par son numéro de téléphone/e-mail même si l'utilisateur l'a interdit dans les options de confidentialité » :
« Il s'agit d'une menace sérieuse, car [...] n'importe quel attaquant ayant des connaissances de base en script/développement peut énumérer une grande partie de la base d'utilisateurs de Twitter inaccessible autrement (créer une base de données avec des connexions entre téléphone/email et nom d'utilisateur). »
Le découvreur de la faille soulignait en outre que « ces bases peuvent être vendues à des acteurs malveillants à des fins publicitaires ou pour étiqueter des célébrités dans le cadre de différentes activités malveillantes », ainsi que pour retrouver les identifiants de comptes Twitter suspendus.
Le 21 juillet dernier, Restore Privacy révélait qu'un certain « devil » venait de mettre en vente une base de données de 5,4 millions d'utilisateurs de Twitter (dont des célébrités) incluant leurs adresses mail et numéros de téléphone, pour « au moins 30 000 dollars ».
Source : RestorePrivacy.com
Le vendeur explique à BleepingComputer avoir exploité la faille en décembre 2021, et donc avant qu'elle ne soit corrigée, sans que l'on comprenne pourquoi il avait attendu aussi longtemps pour mettre en vente la base de données.
La vulnérabilité, qui résultait d'une mise à jour datant de juin 2021, serait similaire à celle qui avait permis de récupérer les données du compte Facebook de 533 millions d'utilisateurs en 2021.
Twitter explique qu'il n'avait jusque-là « aucune preuve suggérant que quelqu'un avait profité de la vulnérabilité », et rappelle, bien qu'aucun mot de passe n'ait été compromis, l'importance de l'authentification à 2 facteurs, à mesure que des pirates pourraient utiliser les adresses e-mail et les numéros de téléphone dans des attaques de phishing ciblées.
Le réseau social précise en outre qu'il informe désormais « directement les propriétaires de compte que nous pouvons confirmer avoir été affectés par ce problème » :
« Si vous exploitez un compte Twitter pseudonyme, nous comprenons les risques qu'un incident comme celui-ci peut introduire et regrettons profondément que cela se soit produit. Pour garder votre identité aussi discrète que possible, nous vous recommandons de ne pas ajouter de numéro de téléphone ou d'adresse e-mail publics à votre compte Twitter. »
L'annonce a depuis été effacée sur Breached Forums, sans que l'on sache si la base de données a bien été vendue. L'échantillon fourni ne portait que sur 9 utilisateurs, dont 2 seulement avaient renseigné leur numéro de téléphone.
Le site avait déjà fait la « Une » de médias début juillet après qu'un autre pirate y mit en vente une base de données de plus d'un milliard de résidents chinois.
Twitter n'explique pas pourquoi il a mis 15 jours à communiquer à ce sujet alors que, comme le souligne Lukasz Olejnik dans sa newsletter, cette fuite de données serait l'une des plus importantes depuis que le RGPD a été adopté.
