Oh super, maintenant nos données Twitter sont en vente sur le dark web
Au cas où vous n'auriez pas suivi de près les flux d'actualités des hackers (et nous ne vous en voulons pas si vous ne l'avez pas fait), vous avez peut-être manqué une annonce en janvier de HackerOne détaillant une vulnérabilité de sécurité dans le code Twitter. La vulnérabilité permet aux pirates de voler les numéros de téléphone et les e-mails des utilisateurs.
Eh bien, une liste de millions d'utilisateurs de Twitter vient d'être mise en vente sur le dark web.
Restore Privacy, un organisme de surveillance de la sécurité et de la confidentialité, a signalé la liste de 5,4 millions d'e-mails et de numéros de téléphone d'utilisateurs de Twitter en vente sur un site Web sombre appelé Breached Forums. Le pirate vendant la liste prétend qu'elle contient les données privées de "Célébrités, entreprises, aléatoires, OG, etc."
La vulnérabilité découverte en janvier et la vente d'ensembles de données personnelles de Twitter sont trop étroitement liées pour être une simple coïncidence.
En janvier, l'utilisateur de HackerOne, zhirinovskiy, a soumis un rapport de bogue qu'il avait trouvé lors de l'analyse de la base de code de Twitter. Il s'agissait d'un exploit qui pourrait potentiellement permettre à un acteur malveillant d'accéder aux e-mails et aux numéros de téléphone des utilisateurs de Twitter. Bien qu'il n'y ait eu aucun signe de violation de données à l'époque, zhirinovskiy était inquiet.
"C'est une menace sérieuse", a déclaré zhirinovskiy dans son rapport de bogue. "Comme les gens peuvent non seulement trouver des utilisateurs qui ont restreint la possibilité d'être trouvés par e-mail/numéro de téléphone, mais tout attaquant ayant une connaissance de base des scripts/codage peut énumérer une grande partie de la base d'utilisateurs de Twitter indisponible pour l'énumération préalable (créer un base de données avec connexions téléphone / e-mail au nom d'utilisateur).
"Merci pour votre rapport @zhirinovksiy", a répondu un employé de Twitter nommé bugtriage_simon au rapport. "Nous examinons cela et vous tiendrons au courant lorsque nous aurons des informations supplémentaires. Merci d'avoir pensé à la sécurité de Twitter.
La réponse est venue le 6 janvier, cinq jours après que Zhirinovskiy a publié son rapport.
Le 13 janvier, Twitter a clôturé le rapport et a commenté : « Nous considérons que ce problème est résolu maintenant. Pouvez-vous confirmez s'il vous plaît?"
"Je peux confirmer que le problème est résolu", a répondu zhirinovskiy le même jour. Twitter l'a récompensé pour ses efforts.
À en juger par l'échange de commentaires sur le rapport de bogue initial, il a fallu près de deux semaines à Twitter pour corriger la vulnérabilité. À un moment donné, un acteur menaçant s'est faufilé et a volé 5,4 millions d'ensembles de données. Que cela ait été fait avant que Zhirinovskiy ne découvre l'exploit ou après qu'il l'ait posté reste inconnu. Ce que l'on sait, c'est que ces e-mails et numéros de téléphone sont maintenant en vente.
Si vos données ont été incluses dans la violation, vous pouvez vous attendre à recevoir une augmentation des spams et des appels frauduleux. Nous vous recommandons d'utiliser Hide My Email d'Apple si vous avez un iPhone. Consultez également nos conseils pour augmenter votre confidentialité en ligne .