A cause d’une faille de sécurité découverte dans l’application Android de Twitter, des données d’utilisateurs ont pu être collectées par des pirates. Elles incluent des adresses de courrier électronique et des numéros de téléphone.
Mauvaise nouvelle pour les utilisateurs de Twitter : un hacker a mis en vente un fichier comportant les données de 5,4 millions de comptes du réseau social. Cette base de données contient les adresses mail et les numéros de téléphone associés aux comptes. Le hacker s’est manifesté sur Breached Forums, un forum où se vendent des données qui ont été volées.
Le hacker indique que le fichier contient entre autres des coordonnées d’entreprises et de célébrités. Une analyse d’un extrait du fichier a prouvé que les données sont vraies, en comparant les données avec des informations issues de profils publics d’utilisateurs. Le pirate demande pas moins de 30 000 dollars pour vendre cette base de données et précise qu’elle est disponible à cause de l’incompétence de Twitter.
Que s’est-il donc passé ? En janvier, un rapport a été envoyé sur la plate-forme HackerOne, pour la coordination des vulnérabilités et des corrections de bogues. Cette plate-forme met en communication les entreprises avec les testeurs de failles et les chercheurs en cybersécurité. Un utilisateur, qui a adopté comme pseudonyme le nom de l’homme politique russe Vladimir Volfovich Zhirinovsky, a ainsi alerté Twitter d’une vulnérabilité qui permet d’obtenir un identifiant Twitter à partir d’une adresse électronique ou d’un numéro de téléphone, même si le propriétaire du compte a bloqué ce type de demande. L’identifiant interne peut ensuite être facilement transformé en nom d’utilisateur. Un pirate peut ainsi constituer une base de données avec des noms de comptes, des adresses électroniques et des numéros de téléphones. Cette vulnérabilité ne concerne que la version Android de l’appli du réseau social. Elle fonctionne même si le compte Twitter a été suspendu.
Twitter a reconnu la faille et a octroyé à l’utilisateur zhirinovsky une récompense de 5 040 dollars. La faille a été corrigée le 13 janvier.
Hélas, il semble que des pirates ont eu le temps d’exploiter cette faille avant qu’elle ne soit corrigée et de constituer une base de données. Twitter a indiqué que l’entreprise était en train d’étudier la situation, mais n’a pas donné plus d’informations pour le moment. En outre, il n’est pour le moment pas possible de savoir si votre compte Twitter est concerné et fait partie de la base de données.
Source :
Restore Privacy