La violation de Twitter a exposé des propriétaires de comptes anonymes
Une vulnérabilité dans le logiciel de Twitter qui a exposé un nombre indéterminé de propriétaires de comptes anonymes à une potentielle compromission d’identité l’année dernière a apparemment été exploitée par un acteur malveillant, a déclaré vendredi la société de médias sociaux.
Elle n’a pas confirmé un rapport selon lequel les données de 5,4 millions d’utilisateurs auraient été mises en vente en ligne, mais a déclaré que des utilisateurs du monde entier avaient été affectés.
La violation est particulièrement inquiétante car de nombreux propriétaires de comptes Twitter, y compris des militants des droits de l’homme, ne révèlent pas leur identité dans leur profil pour des raisons de sécurité, notamment par crainte d’être persécutés par des autorités répressives.
« C’est très mauvais pour ceux qui utilisent des comptes Twitter pseudonymes », a déclaré Jeff Kosseff, expert en sécurité des données de l’Académie navale américaine. a tweeté.
La vulnérabilité permettait à quelqu’un de déterminer, lors de la connexion, si un numéro de téléphone ou une adresse électronique particulière était lié à un compte Twitter existant, révélant ainsi les propriétaires du compte, a déclaré la société.
Twitter a déclaré ne pas savoir combien d’utilisateurs ont pu être affectés, et a souligné qu’aucun mot de passe n’a été exposé.
« Nous pouvons confirmer que l’impact a été global », a déclaré un porte-parole de Twitter par e-mail. « Nous ne pouvons pas déterminer exactement combien de comptes ont été impactés ou la localisation des titulaires de comptes ».
La reconnaissance de Twitter dans un billet de blog vendredi fait suite à un rapport du mois dernier par le groupe de défense de la vie privée numérique Restore Privacy détaillant comment les données vraisemblablement obtenues à partir de la vulnérabilité étaient vendues sur un forum de piratage populaire pour 30 000 $ US.
Un chercheur en sécurité a découvert la faille en janvier, en a informé Twitter et a reçu une prime de 5 000 USD. Twitter a déclaré que le bogue, introduit dans une mise à jour logicielle en juin 2021, a été immédiatement corrigé.
Twitter a déclaré avoir appris la vente de données sur le forum de piratage par les médias et a « confirmé qu’un mauvais acteur avait profité du problème avant qu’il ne soit corrigé. »
Twitter a déclaré qu’il notifiait directement tous les propriétaires de comptes dont il peut confirmer qu’ils ont été affectés.
« Nous publions cette mise à jour parce que nous ne sommes pas en mesure de confirmer tous les comptes qui ont été potentiellement touchés, et nous sommes particulièrement attentifs aux personnes ayant des comptes pseudonymes qui peuvent être ciblés par des acteurs étatiques ou autres », a déclaré la société.
Elle a recommandé aux utilisateurs qui souhaitent garder leur identité secrète de ne pas ajouter de numéro de téléphone ou d’adresse électronique connus du public à leur compte Twitter.
« Si vous utilisez un compte Twitter pseudonyme, nous comprenons les risques qu’un tel incident peut entraîner et nous regrettons profondément que cela se soit produit », a déclaré la société.
La révélation de cette violation intervient alors que Twitter est en pleine bataille juridique avec le PDG de Tesla, Elon Musk, qui tente de revenir sur sa précédente offre d’achat de Twitter, basé à San Francisco, pour 44 milliards de dollars.