Rosie Struve; Getty Images
Après des rapports fin 2022 selon lesquels des pirates vendaient des données volées à 400 millions d’utilisateurs de Twitter, les chercheurs affirment maintenant qu’un trésor largement diffusé d’adresses e-mail liées à environ 200 millions d’utilisateurs est probablement une version raffinée du plus grand trésor avec les entrées en double supprimées. Le réseau social n’a pas encore commenté l’exposition massive, mais le cache de données clarifie la gravité de la fuite et qui peut être le plus à risque en conséquence.
De juin 2021 à janvier 2022, il y avait un bogue dans une interface de programmation d’application Twitter, ou API, qui permettait aux attaquants de soumettre des informations de contact comme des adresses e-mail et de recevoir le compte Twitter associé, le cas échéant, en retour. Avant qu’il ne soit corrigé, les attaquants ont exploité la faille pour « extraire » les données du réseau social. Et bien que le bogue n’ait pas permis aux pirates d’accéder aux mots de passe ou à d’autres informations sensibles comme les DM, il a révélé la connexion entre les comptes Twitter, qui sont souvent pseudonymes, et les adresses e-mail et numéros de téléphone qui leur sont liés, identifiant potentiellement les utilisateurs.
Pendant qu’elle était en direct, la vulnérabilité a apparemment été exploitée par plusieurs acteurs pour créer différentes collections de données. Celui qui circule dans les forums criminels depuis l’été comprenait les adresses e-mail et les numéros de téléphone d’environ 5,4 millions d’utilisateurs de Twitter. Le trésor massif et nouvellement refait surface semble ne contenir que des adresses e-mail. Cependant, la diffusion généralisée des données crée le risque qu’elle alimente les attaques de phishing, les tentatives d’usurpation d’identité et d’autres ciblages individuels.
Twitter n’a pas répondu aux demandes de commentaires de WIRED. La société a écrit à propos de la vulnérabilité de l’API dans une divulgation d’août : “Lorsque nous avons appris cela, nous avons immédiatement enquêté et corrigé le problème. À ce moment-là, nous n’avions aucune preuve suggérant que quelqu’un avait profité de la vulnérabilité. Apparemment, la télémétrie de Twitter était insuffisante pour détecter le raclage malveillant.
Publicité
Twitter est loin d’être la première plate-forme à exposer des données à un grattage massif via une faille d’API, et il est courant dans de tels scénarios qu’il y ait confusion sur le nombre de trésors de données distincts qui existent réellement à la suite d’une exploitation malveillante. Ces incidents sont néanmoins importants, car ils ajoutent davantage de connexions et de validation à l’énorme masse de données volées qui existe déjà dans l’écosystème criminel concernant les utilisateurs.
“De toute évidence, plusieurs personnes étaient au courant de cette vulnérabilité de l’API et plusieurs personnes l’ont récupérée. Différentes personnes ont-elles gratté différentes choses ? Combien y a-t-il de trésors ? Cela n’a pas d’importance », déclare Troy Hunt, fondateur du site de suivi des violations HaveIBeenPwned. Hunt a ingéré l’ensemble de données Twitter dans HaveIBeenPwned et dit qu’il représentait des informations sur plus de 200 millions de comptes. Quatre-vingt-dix-huit pour cent des adresses e-mail avaient déjà été exposées lors de violations passées enregistrées par HaveIBeenPwned. Et Hunt dit avoir envoyé des e-mails de notification à près de 1 064 000 des 4 400 000 millions d’abonnés à son service.
« C’est la première fois que j’envoie un e-mail à sept chiffres », dit-il. « Près d’un quart de l’ensemble de mon corpus d’abonnés est vraiment significatif. Mais parce qu’une grande partie de cela était déjà là, je ne pense pas que ce sera un incident qui aura une longue queue en termes d’impact. Mais cela peut désanonymiser les gens. Ce qui m’inquiète le plus, ce sont les personnes qui veulent préserver leur vie privée.
Twitter a écrit en août qu’il partageait cette préoccupation concernant la possibilité que les comptes pseudonymes des utilisateurs soient liés à leur identité réelle en raison de la vulnérabilité de l’API.
“Si vous exploitez un compte Twitter pseudonyme, nous comprenons les risques qu’un incident comme celui-ci peut introduire et regrettons profondément que cela se soit produit”, a écrit la société. “Pour garder votre identité aussi voilée que possible, nous vous recommandons de ne pas ajouter de numéro de téléphone ou d’adresse e-mail publiquement connu à votre compte Twitter.”
Pour les utilisateurs qui n’avaient pas encore lié leurs identifiants Twitter aux comptes de messagerie du graveur au moment du grattage, les conseils arrivent trop tard. En août, le réseau social a déclaré qu’il informait les personnes potentiellement concernées de la situation. La société n’a pas précisé si elle procéderait à une notification supplémentaire à la lumière des centaines de millions d’enregistrements exposés.
La Commission irlandaise de protection des données a déclaré le mois dernier qu’elle enquêtait sur l’incident qui a produit le trésor de 5,4 millions d’adresses e-mail et de numéros de téléphone d’utilisateurs. Twitter fait également l’objet d’une enquête de la part de la Federal Trade Commission des États-Unis pour savoir si l’entreprise a violé un “décret de consentement” qui obligeait Twitter à améliorer ses mesures de confidentialité et de protection des données des utilisateurs.
Cette histoire est apparue à l’origine sur wired.com.
