Twitter corrige un bug de sécurité qui a exposé au moins 5,4 millions de comptes

Twitter affirme avoir corrigé une faille de sécurité qui permettait aux pirates de compiler des informations sur 5,4 millions de comptes Twitter, qui étaient mis en vente sur un forum de cybercriminalité connu.

Cette vulnérabilité permettait à quiconque de saisir le numéro de téléphone ou l'adresse e-mail d'un utilisateur connu et de savoir s'il était lié à un compte Twitter existant, exposant potentiellement l'identité de comptes pseudonymes.

Dans une brève déclaration publiée vendredi, le géant du microblogging a déclaré : "si quelqu'un soumettait une adresse e-mail ou un numéro de téléphone aux systèmes de Twitter, les systèmes de Twitter indiqueraient à la personne à quel compte Twitter les adresses e-mail ou le numéro de téléphone soumis étaient associés, si n'importe lequel."

Twitter a déclaré avoir corrigé le bogue en janvier, six mois après l'introduction initiale du bogue dans sa base de code, après un rapport de prime de bogue par un chercheur en sécurité, qui a reçu 6 000 $ pour avoir divulgué la vulnérabilité.

Selon le rapport de bug bounty, la vulnérabilité constituait une "menace sérieuse" pour les utilisateurs qui ont des comptes privés ou pseudonymes, et pourrait être utilisée pour "créer une base de données" ou énumérer "une grande partie de la base d'utilisateurs de Twitter". Cela ressemble à une vulnérabilité découverte fin 2019 qui a permis à un chercheur en sécurité de faire correspondre 17 millions de numéros de téléphone à des comptes Twitter.

Mais l'avertissement du chercheur est venu trop tard. Les pirates avaient déjà exploité la vulnérabilité au cours de cette période de six mois pour créer une base de données d'adresses e-mail et de numéros de téléphone de 5,4 millions de comptes Twitter.

Twitter a déclaré avoir appris l'exploitation d'un rapport de presse non spécifié en juillet, qui a trouvé une liste sur un forum de cybercriminalité prétendant avoir des données d'utilisateur "des célébrités aux entreprises", et des OG, faisant référence à des réseaux sociaux personnalisés ou très recherchés. noms d'utilisateur pour les médias et les jeux.

"Après avoir examiné un échantillon des données disponibles à la vente, nous avons confirmé qu'un mauvais acteur avait profité du problème avant qu'il ne soit résolu", a déclaré Twitter. "Nous informerons directement les titulaires de compte dont nous pouvons confirmer qu'ils ont été affectés par ce problème."

Il s'agit du dernier incident de sécurité à avoir frappé Twitter ces dernières années. En mai, Twitter a accepté de payer 150 millions de dollars dans le cadre d'un règlement avec la Federal Trade Commission après que l'entreprise a utilisé à mauvais escient les numéros de téléphone et les adresses e-mail, que les utilisateurs ont soumis pour la mise en place de l'authentification à deux facteurs, pour la publicité ciblée.

  Technologie   Aug 5, 2022   0   37  Add to Reading List
Twitter corrige un bug de sécurité qui a exposé au moins 5,4 millions de comptes

Twitter affirme avoir corrigé une faille de sécurité qui permettait aux pirates de compiler des informations sur 5,4 millions de comptes Twitter, qui étaient mis en vente sur un forum de cybercriminalité connu.

Cette vulnérabilité permettait à quiconque de saisir le numéro de téléphone ou l'adresse e-mail d'un utilisateur connu et de savoir s'il était lié à un compte Twitter existant, exposant potentiellement l'identité de comptes pseudonymes.

Dans une brève déclaration publiée vendredi, le géant du microblogging a déclaré : "si quelqu'un soumettait une adresse e-mail ou un numéro de téléphone aux systèmes de Twitter, les systèmes de Twitter indiqueraient à la personne à quel compte Twitter les adresses e-mail ou le numéro de téléphone soumis étaient associés, si n'importe lequel."

Twitter a déclaré avoir corrigé le bogue en janvier, six mois après l'introduction initiale du bogue dans sa base de code, après un rapport de prime de bogue par un chercheur en sécurité, qui a reçu 6 000 $ pour avoir divulgué la vulnérabilité.

Selon le rapport de bug bounty, la vulnérabilité constituait une "menace sérieuse" pour les utilisateurs qui ont des comptes privés ou pseudonymes, et pourrait être utilisée pour "créer une base de données" ou énumérer "une grande partie de la base d'utilisateurs de Twitter". Cela ressemble à une vulnérabilité découverte fin 2019 qui a permis à un chercheur en sécurité de faire correspondre 17 millions de numéros de téléphone à des comptes Twitter.

Mais l'avertissement du chercheur est venu trop tard. Les pirates avaient déjà exploité la vulnérabilité au cours de cette période de six mois pour créer une base de données d'adresses e-mail et de numéros de téléphone de 5,4 millions de comptes Twitter.

Twitter a déclaré avoir appris l'exploitation d'un rapport de presse non spécifié en juillet, qui a trouvé une liste sur un forum de cybercriminalité prétendant avoir des données d'utilisateur "des célébrités aux entreprises", et des OG, faisant référence à des réseaux sociaux personnalisés ou très recherchés. noms d'utilisateur pour les médias et les jeux.

"Après avoir examiné un échantillon des données disponibles à la vente, nous avons confirmé qu'un mauvais acteur avait profité du problème avant qu'il ne soit résolu", a déclaré Twitter. "Nous informerons directement les titulaires de compte dont nous pouvons confirmer qu'ils ont été affectés par ce problème."

Il s'agit du dernier incident de sécurité à avoir frappé Twitter ces dernières années. En mai, Twitter a accepté de payer 150 millions de dollars dans le cadre d'un règlement avec la Federal Trade Commission après que l'entreprise a utilisé à mauvais escient les numéros de téléphone et les adresses e-mail, que les utilisateurs ont soumis pour la mise en place de l'authentification à deux facteurs, pour la publicité ciblée.

What's Your Reaction?

like

dislike

love

funny

angry

sad

wow