Gare à la faille : les données de plus de 5 millions de comptes Twitter sont dans la nature

Twitter a été victime d’une faille « zero day » qui a permis à des pirates de voler des données personnelles concernant plus de 5 millions de comptes du réseau social. La brèche a été colmatée, mais la menace demeure pour les victimes.

Au mois de janvier, Twitter a obtenu la confirmation d’une faille dans le code de son système d’identification, via son programme de chasse aux bugs (bug bounty). La vulnérabilité faisait en sorte que si quelqu’un soumettait une adresse e-mail ou un numéro de téléphone au système de Twitter, ce dernier indiquait le compte Twitter associé à l’identifiant.

Activez l’identification à deux facteurs !

Ce bug provient en fait d’une mise à jour du code remontant au mois de juin 2021. Lorsque le réseau social a pris connaissance de cette brèche, une enquête a été menée et un correctif a été développé rapidement. À l’heure actuelle, Twitter n’a aucune preuve qui pourrait suggérer que la vulnérabilité a été exploitée de manière malveillante.

Toutefois, le mois dernier, Twitter apprend par voie de presse qu’un pirate a proposé de vendre des informations tirées de cette faille. Après l’examen d’un échantillon de ces données vendues sous le manteau, l’entreprise confirme qu’un « mauvais acteur » a effectivement tiré avantage de la brèche avant son colmatage. La base de données aurait bel et bien trouvé preneur pour 30.000 dollars.

Elle contient des informations sur 5,4 millions d’utilisateurs de Twitter, qui seront contactés directement par le réseau social. Pour tous ceux qui ne pourront pas être prévenus, l’entreprise a choisi de communiquer publiquement sur la faille pour que chacun puisse prendre ses précautions.

Les informations contenues dans la base de données sont les adresses e-mail, les numéros de téléphone ou encore la localisation. Les mots de passe des comptes ne sont heureusement pas concernés. Twitter recommande vivement de mettre en place son système de vérification à deux facteurs afin de bénéficier de cette sécurité supplémentaire qui réduit fortement les tentatives malveillantes de connexion.

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.