Twitter confirme une fuite de données : 5,4 millions d'utilisateurs concernés

Twitter
Le pirate voulait obtenir 30 000 dollars US pour les jeux de données. (Source : IMAGO / NurPhoto)

A l’aide d’une faille de sécurité, des criminels ont pu collecter des données de 5,4 millions d’utilisateurs de Twitter. Ils ont ensuite proposé ces informations à la vente. Twitter a désormais confirmé l’incident.

Dans un article de blog publié vendredi dernier, Twitter écrit que la faille existait depuis juin 2021 et qu’elle était la conséquence d’une mise à jour. L’entreprise n’a toutefois été informée du problème que le 1er janvier 2022, lorsqu’un expert en sécurité a signalé la faille à Twitter et a reçu en échange une récompense de plus de 5000 dollars de la part de l’entreprise dans le cadre du programme de bug bounty – comme c’est généralement le cas dans le secteur de la sécurité informatique.

Le service de messages courts a, selon ses propres indications, comblé la faille « immédiatement » – le 13 janvier. « A ce moment-là, nous n’avions aucune raison de penser que quelqu’un avait exploité la faille », explique Twitter dans son article de blog.

Cette estimation s’est révélée erronée lorsque des données d’utilisateurs de Twitter ont été proposées à l’achat sur un forum en juin 2022. Twitter lui-même n’aurait appris le vol des données que par des articles de presse en juillet 2022.

Bug dans les paramètres de sécurité

La faille de sécurité exploitée permettait à n’importe qui de saisir une adresse électronique ou un numéro de téléphone lors du processus de connexion afin de vérifier si elle était associée à un compte Twitter. En cas de réponse positive, Twitter révélait l’ID du compte correspondant, même si cette fonction avait été désactivée dans les paramètres de sécurité du compte.

Grâce à l’ID, le pirate pouvait obtenir d’autres informations publiques sur le compte en question. Cela permettait même d’identifier les utilisateurs inscrits sous un pseudonyme.

Les 5,485 millions ensembles de données d’utilisateurs de Twitter ont été mis en vente sur la plate-forme « Breached Forums », comme le rapporte le portail de sécurité informatique RestorePrivacy. Le site avait confirmé fin juillet l’authenticité des enregistrements et signalé qu’ils contenaient entre autres des noms d’utilisateurs et des noms en clair ainsi que des numéros de téléphone et des adresses e-mail. Le vendeur a demandé 30.000 dollars US pour les informations et a confirmé avoir exploité la faille de sécurité en question en janvier.

Les utilisateurs sans défense

Twitter veut maintenant informer les utilisateurs concernés. Le service n’est toutefois pas en mesure d’identifier tous les comptes potentiellement concernés. Aucune mesure n’est à prendre de la part des utilisateurs, les mots de passe n’ont pas été dérobés.

Au lieu de cela, Twitter donne des conseils généraux sur la protection des comptes d’utilisateurs : « Pour que votre identité reste la plus cachée possible, nous vous recommandons de ne pas ajouter de numéro de téléphone ou d’adresse e-mail connus du public à votre compte Twitter ».

Les utilisateurs devraient également activer l’authentification à deux facteurs. Dans l’application Twitter, ce paramètre se trouve dans le menu sous « Paramètres et confidentialité → Sécurité et accès au compte → Sécurité → Authentification à deux facteurs ». Même si cette mesure de sécurité est utile pour sécuriser l’accès à son propre compte, elle n’aurait pas protégé contre le vol de données actuel.

(hcz)