Plus de 5 millions de comptes touchés : Twitter confirme une importante faille informatique

 

Des pirates informatiques ont exploité une faille zéro day Twitter, qui a depuis été corrigée. Le réseau social a officiellement reconnu l’attaque, qui a touché plus de 5,4 millions de comptes. Aucun mot de passe n’aurait été exposé.

twitter
Source : Claudio Schwarz via Unsplash

Twitter a officiellement confirmé par le biais d’un communiqué de presse qu’une faille informatique inhérente à sa plateforme avait été exploitée par des personnes malveillantes. Il s’agit ici d’un exploit zero-day, soit une vulnérabilité méconnue ou non corrigée par l’éditeur, mais utilisée par des cybercriminels.

Ladite faille a été provoquée par une mise à jour de juin 2021 liée au code Twitter. Le ou les hackers ont ensuite pris connaissance de cette faiblesse en décembre, mois durant lequel ils ont pu récolter des informations clés appartenant à 5 485 636 comptes. Ont ainsi été recueillies : la localisation, l’URL, le numéro de téléphone, l’adresse mail ou encore la photo de chaque profil.

Une faille depuis corrigée

Twitter assure qu’aucun mot de passe n’a été dérobé, mais conseille tout de même aux personnes touchées – qui vont être contactées – et de manière plus générale d’activer l’authentification à double facteur. Le groupe préconise également de ne pas relier publiquement son numéro de téléphone ou adresse email à son compte.

Twitter

La plateforme à l’oiseau bleu a pris connaissance de cette vulnérabilité en janvier 2022, après avoir reçu un rapport via son programme de bug bounty (prime aux bugs) HackerOne. Aujourd’hui, Twitter confirme officiellement que la faille a été corrigée. Plus aucune violation des données liée à cette brèche est donc possible.

30 000 dollars

Toujours est-il que le mal est déjà fait. En juillet, le pirate derrière tout cela avait déclaré à BleepingComputer que de potentiels acheteurs s’étaient montrés intéressés pour racheter le pack de données au prix de 30 000 dollars. Après examen d’un échantillon de données, Twitter a pu attester de leur authenticité.

Toujours selon BleepingComputer, les données ont ensuite bel et bien été revendues à un tarif inférieur auprès de deux personnes, qui seraient alors prêtes à les publier gratuitement à l’avenir.

Pour adopter les meilleurs réflexes, pensez à consulter notre dossier dédié à la sécurisation de nos smartphones, PC et tablettes.


Pour nous suivre, nous vous invitons à télécharger notre application Android et iOS. Vous pourrez y lire nos articles, dossiers, et regarder nos dernières vidéos YouTube.

Les derniers articles