Twitter a été accusé d'avoir dissimulé une violation de données illégale qui touche des millions de personnes
Un expert en cybersécurité basé à Los Angeles a mis en garde contre une violation de données sur le site de médias sociaux Twitter qui aurait touché des "millions" de personnes aux États-Unis et dans l'UE. Chad Loder, qui est le fondateur de la société de sensibilisation à la cybersécurité Habitu8, a pris à le site de médias sociaux le 23 novembre pour avertir les utilisateurs de la même chose. Loder affirme que la violation s'est produite "au plus tôt en 2021" et "n'a pas été signalée auparavant".
Loder a affirmé dans une série de tweets qu'ils avaient vu les données volées lors de la violation présumée et parlé aux victimes potentielles de la violation. Fait intéressant, les victimes avaient confirmé que les données piratées étaient "exactes". code de la France » répertoriés, avec leurs numéros mobiles complets.
La violation comprend également les "espaces de numéros de téléphone complets pour plusieurs indicatifs de pays dans l'UE" et "certains indicatifs régionaux aux États-Unis", l'ensemble de données comprenant des informations personnelles pour "les comptes vérifiés, les célébrités, les politiciens éminents et les agences gouvernementales ”.
En juillet dernier, Twitter a confirmé une violation de données qui a affecté des millions de comptes d'utilisateurs. Loder a déclaré que cette "ne peut pas" être la même violation à moins que la société n'ait "menti" à propos de la violation de juillet.
Selon Loder, les données de cette brèche ne sont "pas les mêmes données" que celles vues lors de la brèche de juillet, car elles sont dans un "format complètement différent" et ont "des comptes affectés différents".
Loder pense que la violation s'est produite en raison d'acteurs malveillants exploitant la même vulnérabilité que le piratage signalé en juillet.
Selon le diable, c'est-à-dire le pirate qui a affirmé dans un message sur le forum de piratage Breach Forum, les données volées comprenaient des adresses e-mail et des numéros de téléphone de "célébrités, entreprises, aléatoires, OG, etc".
Le propriétaire de Breach Forums a d'abord vérifié que la fuite était authentique, déclarant que la violation de données avait eu lieu car le diable était capable d'exploiter une vulnérabilité sur le site de médias sociaux signalée pour la première fois en janvier 2022.
Un membre du nom de zhirinovsky a publié un rapport sur la vulnérabilité à la prime de bogues et à la plate-forme de coordination des vulnérabilités HackerOne le 1er janvier 2022. Ils ont décrit les effets de la vulnérabilité en disant : "La vulnérabilité permet à toute partie sans aucune authentification d'obtenir un identifiant Twitter (qui équivaut presque à obtenir le nom d'utilisateur d'un compte) de tout utilisateur en soumettant un numéro de téléphone/e-mail même si l'utilisateur a interdit cette action dans les paramètres de confidentialité.
Le bogue existe en raison du processus d'autorisation utilisé dans le client Android de Twitter, en particulier dans le processus de vérification de la duplication d'un compte Twitter. "Cela signifie que la vulnérabilité pourrait, et plus tard, a permis" à tout attaquant ayant une connaissance de base de script/codage [pour] énumérer une grande partie de la base d'utilisateurs de Twitter » et collecter les données des utilisateurs dans une base de données qui relie les noms d'utilisateur Twitter à leurs adresses e-mail ou numéros de téléphone respectifs.
Cela pourrait ensuite être vendu à des parties malveillantes qui pourraient utiliser les données à des fins publicitaires ou pour cibler de manière malveillante des comptes Twitter spécifiques, par exemple des célébrités. Twitter lui-même a vérifié la vulnérabilité le 6 janvier et a ensuite payé zhirinovsky US$5 040 pour corriger le problème en janvier. 13, avec zhirinovsky confirmant que le problème avait été résolu ce jour-là.
Le 5 août, Twitter a publié une déclaration sur la violation, confirmant qu'elle s'était produite et qu'elle était due à la vulnérabilité signalée en janvier. La société a déclaré qu'elle "informerait directement les utilisateurs du compte dont elle pourrait confirmer qu'ils sont affectés par ce problème".
Twitter a déclaré que la violation de données était "malheureuse" et a encouragé les utilisateurs à activer l'authentification à deux facteurs pour protéger leurs comptes contre les connexions non autorisées afin de maîtriser l'activité malveillante de fuite de données et d'y mettre fin une fois pour toutes.
Français du Canada 
English 
हिन्दी 
ગુજરાતી 
தமிழ் 
తెలుగు 
मराठी 
മലയാളം 
বাংলা 
Français de Belgique 
Deutsch (Schweiz) 
Deutsch (Sie) 
Deutsch 
English (Canada) 
English (New Zealand) 
English (UK) 
English (Australia) 
English (South Africa) 
Afrikaans 
اردو 
العربية 
Русский 
简体中文 
Azərbaycan dili 
অসমীয়া 
Magyar 
Bahasa Indonesia 
Español de Argentina 
Español de Colombia 
日本語 
Italiano 
Tiếng Việt 
Українська 
فارسی