Twitter a confirmé qu’une faille de sécurité a conduit à une exposition de données à la fin de l’année dernière. L’entreprise a déclaré qu’un acteur malveillant a profité d’une faille de type zero-day avant qu’elle ne prenne conscience du problème et ne le corrige en janvier 2022. La vulnérabilité a été découverte par un chercheur en sécurité qui a contacté le réseau social par le biais de son programme de primes aux failles (bug bounty).
Lorsque Twitter a appris l’existence de la faille, il a déclaré n’avoir aucune preuve qu’elle avait été exploitée. Cependant, une personne a déclaré à Bleeping Computer le mois dernier qu’elle avait profité de la vulnérabilité pour obtenir des données sur plus de 5,4 millions de comptes. Twitter a déclaré qu’il ne pouvait pas confirmer combien d’utilisateurs ont été touchés par l’exposition. La vulnérabilité permettait à l’acteur malveillant de déterminer si une adresse e-mail ou un numéro de téléphone était lié à un compte Twitter existant. Il pouvait ensuite utiliser cette information pour déterminer l’identité du propriétaire du compte.
« Nous publions cette mise à jour parce que nous ne sommes pas en mesure de confirmer chaque compte qui a été potentiellement impacté et nous sommes particulièrement attentifs aux personnes ayant des comptes pseudonymes qui peuvent être ciblés par des acteurs étatiques ou autres », a déclaré Twitter. « Si vous exploitez un compte Twitter pseudonyme, nous comprenons les risques qu’un incident comme celui-ci peut introduire et nous regrettons profondément que cela se soit produit ».
Twitter s’engage à contacter directement les utilisateurs détenant les comptes ciblés.
