Un pirate prétend avoir les numéros de téléphone et les adresses e-mail de 5,4 millions d’utilisateurs de Twitter. La base de données est en vente pour 30 000 $.
Hier, un acteur malveillant identifié comme «diable» a proposé une base de données sur un forum de piratage, affirmant que la base de données contient les informations de 5,4 millions de comptes Twitter. Le contenu de la base de données n’a pas été vérifié.
“Bonjour, aujourd’hui je vous présente des données collectées sur plusieurs utilisateurs qui utilisent Twitter via une vulnérabilité. 5485636 utilisateurs, pour être exact », indique le message. “Ces utilisateurs vont des célébrités aux entreprises, en passant par les aléatoires, les OG, etc.”
Un vieux défaut ?
UN rapport by RestorePrivacy a déclaré que la faille exploitée pour collecter les données est la même que celle divulguée par HackerOne à Twitter le 1er janvier. La faille a été corrigée le 13 janvier.
“La vulnérabilité permet à toute partie sans aucune authentification d’obtenir un ID Twitter (qui équivaut presque à obtenir le nom d’utilisateur d’un compte) de tout utilisateur en soumettant un numéro de téléphone ou un e-mail même si l’utilisateur a interdit cette action dans les paramètres de confidentialité », a déclaré HackerOne à l’époque.
‘Devil’, le créateur du post du forum, a nié toute affiliation avec HackerOne dans une déclaration publiée à site internet BleepingComputer.
Public mais problématique
Les pirates ont abusé de la vulnérabilité en saisissant des adresses e-mail et des numéros de téléphone pour extraire les identifiants de compte. Équipés de ces identifiants, ils ont très probablement récupéré toutes les données publiques restantes pour établir des profils d’utilisateurs.
Cette vulnérabilité est comparable à la méthode avec laquelle les pirates ont saisi les données du compte Facebook de 533 millions d’utilisateurs l’année dernière. Même si la majorité des données vendues sont des informations publiques, les pirates peuvent utiliser les adresses e-mail et les numéros de téléphone dans des tentatives de phishing ciblées.
Par conséquent, tous les utilisateurs de Twitter doivent être prudents lorsqu’ils reçoivent des e-mails de Twitter, notamment ceux qui demandent des identifiants de connexion.
