Après des rapports à fin 2022 que les pirates vendaient des données volées à 400 millions d’utilisateurs de Twitter, les chercheurs affirment maintenant qu’un trésor largement diffusé d’adresses e-mail liées à environ 200 millions d’utilisateurs est probablement une version raffinée du plus grand trésor avec les entrées en double supprimées. Le réseau social n’a pas encore commenté l’exposition massive, mais le cache de données clarifie la gravité de la fuite et qui peut être le plus à risque en conséquence.
De juin 2021 à janvier 2022, il y avait un bogue dans une interface de programmation d’application Twitter, ou API, qui permettait aux attaquants de soumettre des informations de contact comme des adresses e-mail et de recevoir le compte Twitter associé, le cas échéant, en retour. Avant qu’il ne soit corrigé, les attaquants ont exploité la faille pour « extraire » les données du réseau social. Et bien que le bogue n’ait pas permis aux pirates d’accéder aux mots de passe ou à d’autres informations sensibles comme les DM, il a révélé la connexion entre les comptes Twitter, qui sont souvent pseudonymes, et les adresses e-mail et numéros de téléphone qui leur sont liés, identifiant potentiellement les utilisateurs.
Pendant qu’elle était en direct, la vulnérabilité a apparemment été exploitée par plusieurs acteurs pour créer différentes collections de données. Celui qui circule dans les forums criminels depuis l’été comprenait les adresses e-mail et les numéros de téléphone d’environ 5,4 millions d’utilisateurs de Twitter. Le trésor massif et nouvellement refait surface semble ne contenir que des adresses e-mail. Cependant, la diffusion généralisée des données crée le risque qu’elle alimente les attaques de phishing, les tentatives d’usurpation d’identité et d’autres ciblages individuels.
Twitter n’a pas répondu aux demandes de commentaires de WIRED. La société a écrit à propos de la vulnérabilité de l’API dans une divulgation d’août : “Lorsque nous avons appris cela, nous avons immédiatement enquêté et corrigé le problème. À ce moment-là, nous n’avions aucune preuve suggérant que quelqu’un avait profité de la vulnérabilité. Apparemment, la télémétrie de Twitter était insuffisante pour détecter le raclage malveillant.
Twitter est loin d’être la première plate-forme à exposer des données à un grattage massif via une faille d’API, et il est courant dans de tels scénarios qu’il y ait confusion sur le nombre de trésors de données distincts qui existent réellement à la suite d’une exploitation malveillante. Ces incidents sont néanmoins importants, car ils ajoutent davantage de connexions et de validation à l’énorme masse de données volées qui existe déjà dans l’écosystème criminel concernant les utilisateurs.
“De toute évidence, plusieurs personnes étaient au courant de cette vulnérabilité de l’API et plusieurs personnes l’ont récupérée. Différentes personnes ont-elles gratté différentes choses ? Combien y a-t-il de trésors ? Cela n’a pas d’importance », déclare Troy Hunt, fondateur du site de suivi des violations HaveIBeenPwned. Hunt a ingéré l’ensemble de données Twitter dans HaveIBeenPwned et dit qu’il représentait des informations sur plus de 200 millions de comptes. Quatre-vingt-dix-huit pour cent des adresses e-mail avaient déjà été exposées lors de violations passées enregistrées par HaveIBeenPwned. Et Hunt dit avoir envoyé des e-mails de notification à près de 1 064 000 des 4 400 000 millions d’abonnés à son service.
« C’est la première fois que j’envoie un e-mail à sept chiffres », dit-il. « Près d’un quart de l’ensemble de mon corpus d’abonnés est vraiment significatif. Mais parce qu’une grande partie de cela était déjà là, je ne pense pas que ce sera un incident qui aura une longue queue en termes d’impact. Mais cela peut désanonymiser les gens. Ce qui m’inquiète le plus, ce sont les personnes qui veulent préserver leur vie privée.
