Après une enquête approfondie, Twitter n’a pu que constater et confirmer le piratage de plusieurs millions de comptes. L’information avait été dévoilée en juillet dernier par nos confrères de Bleepingcomputer. Le pirate revendiquait alors la compilation de 5,4 millions de comptes et vendait cette base de données sur le dark web pour la somme de 30 000 dollars. Pour obtenir ces informations, il s’est servi d’une faille de type « zero day » que Twitter pensait avoir colmatée.
Cette vulnérabilité accordait à quiconque de soumettre une adresse électronique ou un numéro de téléphone, de vérifier s'il était associé à un compte Twitter et de récupérer l'ID du compte associé. Le pirate a ensuite utilisé cet identifiant pour récupérer les informations publiques du compte. Il a ainsi créé les profils de 5,4 millions d'utilisateurs de Twitter en décembre 2021, y compris un numéro de téléphone ou une adresse électronique vérifiés, et de récupérer des informations publiques, telles que le nombre de followers, le nom visible à l’écran et celui de connexion, la localisation, l'URL de la photo de profil et d'autres informations. Un problème pour ceux qui utilisent des pseudonymes.
Utilisée en 2021, découverte en 2022
La date de la compromission est importante, car Twitter avait diligenté un programme de bug bounty auprès de Hacker One. En janvier 2022, la plateforme remonte au réseau social une faille critique qui a été corrigée le même mois. « Nous avons reçu un rapport par le biais de notre programme de prime de bug d'une vulnérabilité qui permettait à quelqu'un d'identifier l'email ou le numéro de téléphone associé à un compte ou, s'il connaissait l'email ou le numéro de téléphone d'une personne, il pouvait identifier son compte Twitter, s'il existait », confie la firme dans un message. Et d’ajouter, « Ce bug résulte d'une mise à jour de notre code en juin 2021. Lorsque nous l'avons appris, nous avons immédiatement enquêté et l'avons corrigé. À ce moment-là, nous n'avions aucune preuve suggérant que quelqu'un avait profité de cette vulnérabilité. »
En parallèle de son enquête, Twitter a contacté les personnes touchées par cette compromission. Si le chiffre de 5,4 millions de comptes circule, la firme reste prudente et ne souhaite pas donner le nombre de comptes touchés. « Nous ne sommes pas en mesure de confirmer tous les comptes qui ont été potentiellement touchés, et nous sommes particulièrement attentifs aux personnes ayant des comptes pseudonymes qui peuvent être ciblés par des acteurs étatiques ou autre », précise Twitter. Elle enjoint aux victimes de changer de mot de passe et d’adopter l’authentification à deux facteurs.