Twitter a annoncé en fin de semaine dernière avoir subi une faille. Cela aurait affecté 5,4 millions d’utilisateurs dont les données (mails et téléphones) ont été rendues disponibles. Le fichier est aujourd’hui en vente.
Alors que Twitter fait face aux caprices d’Elon Musk, une faille a été reconnue en fin de semaine dernière par le réseau social suite à des articles faisant mention de la vente de données d’utilisateurs, ce qui n’est pas forcément le moment le plus propice pour Twitter.
La faille a été identifiée et colmatée en janvier de cette année mais elle a été utilisée l’année dernière par un hacker qui se serait emparé des données de 5,4 millions d’utilisateurs.
Une faille qui existait depuis 6 mois
Selon Twitter, il s’agissait d’une vulnérabilité qui permettait de taper une adresse mail ou un numéro de téléphone dans le flux de connexion afin de savoir si ces informations étaient liées à un compte Twitter existant ainsi que le nom dudit compte.
Le réseau social indique avoir été prévenu en janvier 2022 d’une vulnérabilité via son programme de « bug bounty » et a identifié que ce bug résultait d’une mise à jour qui avait été déployée en juin 2021, laissant une fenêtre de 6 mois à des personnes malveillantes pour récupérer des informations.
La faille a été corrigée dans la foulée et rendue publique au cours du mois de février mais elle fait à nouveau parler d’elle puisqu’un article de presse a fait état de la mise en vente d’un fichier concernant 5,4 millions d’utilisateurs à la fin du mois de juillet dont des célébrités alors que dans le même temps, Twitter annonce ne pas savoir combien d’utilisateurs ont été touchés.
La mise à prix de ce fichier n’était que de 30 000 dollars selon l’Associated Press mais à titre de comparaison, Twitter n’a offert que 5 000 dollars à la personne qui a notifié la faille en début d’année. De plus, le pirate a exploité la faille en décembre 2021, quelques semaines avant sa remontée par une autre personne.
