Un bug de Twitter a permis d’exposer l’identité de millions de comptes secrets par le biais d’un forum de pirates, a confirmé Twitter, ajoutant qu’il a depuis corrigé la vulnérabilité. La faille permettait aux acteurs de savoir si un numéro de téléphone ou une adresse électronique était associé à un compte existant en saisissant simplement ces informations dans le flux de connexion.
« En raison de cette vulnérabilité, si une personne soumettait une adresse électronique ou un numéro de téléphone aux systèmes de Twitter, ces derniers lui indiqueraient à quel compte Twitter les adresses électroniques ou le numéro de téléphone soumis étaient associés, le cas échéant », a déclaré Twitter.
La faille de sécurité provenait d’une mise à jour du code de Twitter introduite en juin de l’année dernière. Twitter a corrigé le problème après avoir reçu un rapport en janvier dernier par le biais de son programme de primes aux bugs. La société a ajouté qu’elle n’avait trouvé « aucune preuve suggérant que quelqu’un avait tiré parti de la vulnérabilité » lorsqu’elle a pris connaissance du bogue.
Cependant, le bug est arrivé trop tard car certains acteurs avaient déjà exploité la faille. Cependant, un pirate informatique a vendu une base de données contenant des numéros de téléphone et des adresses électroniques liés à 5,4 millions de comptes via un forum de pirates pour 30 000 dollars.
« Après avoir examiné un échantillon des données disponibles à la vente, nous avons confirmé qu’un mauvais acteur avait profité du problème avant qu’il ne soit traité », a confirmé Twitter.
L’entreprise n’a pas précisé combien de comptes ont été affectés, mais elle a indiqué que la brèche a potentiellement touché des utilisateurs possédant des comptes pseudonymes. La base de données en vente, contient des informations « sur divers comptes, y compris des célébrités, des entreprises et des utilisateurs aléatoires. »
Twitter informera les propriétaires de comptes affectés par cette vulnérabilité. Pour les utilisateurs disposant de comptes secrets, la plateforme recommande de « ne pas ajouter de numéro de téléphone ou d’adresse électronique connus du public » à leurs comptes Twitter afin de cacher leur identité.
Heureusement, aucun mot de passe n’a été compromis à la suite de ce piratage. Néanmoins, le service encourage les utilisateurs à activer l’authentification à deux facteurs en utilisant des applications d’authentification ou des clés de sécurité matérielles.