Une vulnérabilité Twitter découverte et corrigée pour la première fois en janvier 2022 semble avoir causé beaucoup plus de dégâts qu'on ne le pensait initialement.
Comme TechRadar Pro l'a signalé fin juillet 2022, un vidage de données d'informations d'identité sensibles (ouvre dans un nouvel onglet) pour 5,4 millions d'utilisateurs de Twitter a été vendu sur le dark web. Maintenant, les rapports de trace indiquent que non seulement ce vidage de données est offert gratuitement, mais qu'une deuxième violation, potentiellement encore plus dommageable, s'est produite.
Selon BleepingComputer (s'ouvre dans un nouvel onglet), celui-ci contient potentiellement « des dizaines de millions d'enregistrements Twitter », y compris les numéros de téléphone des personnes, leur statut vérifié, les noms de compte, les identifiants Twitter, les biographies et les pseudonymes.
authenticité confirmée
Les conclusions ont été initialement publiées par le chercheur en sécurité Chad Loder, qui aurait été banni de Twitter après avoir annoncé la nouvelle. Il a depuis migré vers Mastodon et y a publié ses découvertes.
"Je viens de recevoir la preuve d'une violation massive de données sur Twitter affectant des millions de comptes Twitter dans l'UE et aux États-Unis. J'ai contacté un échantillon des comptes concernés et ils ont confirmé que les données volées étaient exactes. Cette violation s'est produite au plus tôt en 2021", Loder a partagé sur Twitter à l'époque.
BleepingComputer a analysé un échantillon de la brèche, qui contenait plus de 1,3 million de numéros de téléphone d'utilisateurs de Twitter en France, et a conclu que les numéros étaient valides.
"Nous avons depuis confirmé auprès de nombreux utilisateurs de cette fuite que les numéros de téléphone sont valides, vérifiant ainsi que cette violation de données supplémentaire est réelle", note le message.
Ces numéros de téléphone ne faisaient pas partie du vidage de données vendu l'été dernier, confirmant tout sauf une deuxième fuite.
BleepingComputer a également réussi à contacter l'auteur de la première fuite de données, un hacker se faisant passer pour "Pompompurin", qui a confirmé qu'il n'était pas responsable de la deuxième fuite.
Par conséquent, il est prudent de supposer que divers acteurs de la menace étaient au courant de la faille de Twitter et ont travaillé activement pour l'exploiter avant qu'elle ne soit initialement corrigée.