Fuite de données Twitter pour 5 millions d’utilisateurs repartagés en ligne gratuitement

Les données privées de Twitter concernant 5 millions d'utilisateurs ont été repartagées lors d'un forum de hackers jeudi dernier après leur première fuite en juillet.

Alors que le dépotoir de juillet avait un prix de 30 000 $, le dépotoir de jeudi était gratuit.

Informations sur les utilisateurs privés révélées

Pompompurin, le propriétaire du forum de piratage HackerOne, a confirmé à BleepingComputer au cours du week-end que son site était responsable du vidage initial des données.

En décembre, un bug de l'API Twitter a été découvert dans le cadre du programme Bug Bounty du forum, qui permet aux utilisateurs de récupérer des identifiants Twitter spécifiques en soumettant un numéro de téléphone ou une adresse e-mail associés. Cela a permis aux pirates de créer des enregistrements d'utilisateurs sur des millions de comptes en utilisant à la fois des informations publiques et privées.

En juillet, suffisamment de données avaient été collectées pour qu'un acteur malveillant puisse commencer à vendre les informations privées de 5,4 millions d'utilisateurs pour 30 000 dollars sur un forum en ligne. Ces données comprenaient des numéros de téléphone et des adresses e-mail, ainsi que des informations publiques telles que des noms, des identifiants Twitter, des emplacements, des noms de connexion et un statut vérifié.

De plus, une deuxième violation de données s'est produite, affectant 1,4 million d'utilisateurs suspendus, portant le nombre total de profils concernés à près de 7 millions.

Le lot de données affectant 5,4 millions d'utilisateurs a été librement partagé sur un forum de piratage le 24 novembre. Selon Pompompurin, il s'agit en fait des mêmes données qui étaient en vente pour des milliers de dollars en juillet et août.

"Ces enregistrements contiennent une adresse e-mail ou un numéro de téléphone privé et des données de grattage publiques, y compris l'identifiant Twitter du compte, le nom, le nom d'écran, le statut vérifié, l'emplacement, l'URL, la description, le nombre d'abonnés, la date de création du compte, le nombre d'amis, le nombre de favoris, le nombre de statuts et les URL des photos de profil », a écrit BleepingComputer.

Une autre infraction plus grave ?

Alors que le bogue de l'API utilisée pour découvrir les données avait été corrigé en janvier 2022, le même exploit aurait été utilisé pour mettre en œuvre une violation de données encore plus importante.

Mercredi dernier, l'expert en sécurité Chad Loder s'est adressé à Twitter, affirmant qu'il avait reçu des "preuves" d'une violation affectant des millions d'utilisateurs américains et européens. "L'ensemble de données comprend des comptes vérifiés, des célébrités, des politiciens éminents et des agences gouvernementales", a-t-il ajouté.

Le compte de Chad Loder a été suspendu peu de temps après avoir publié ses réclamations.

Plusieurs sociétés de cryptographie , dont Celsius et OpenSea, ont été touchées par une violation de données par e-mail en juillet causée par un employé mécontent de Customer.io, qui s'occupait des communications avec les clients pour les deux sociétés.

Le post Twitter a divulgué des données pour 5 millions d'utilisateurs repartagés en ligne gratuitement pour la première fois sur CryptoPotato .