Une faille de sécurité majeure a affecté le réseau social Twitter. Seuls les utilisateurs utilisant l'application Android sont touchés. Au moins un pirate aurait déjà siphonné les données personnelles afin de les revendre.
Twitter était au courant de la faille ?
Le 1er janvier dernier, l'utilisateur zhirinovskiy a signalé une faille critique sur le site Hackerone , permettant d’obtenir l’identifiant Twitter de n’importe quel utilisateur à partir d’une adresse e-mail ou d’un numéro de téléphone. Les données sont toujours associées, même si l’utilisateur refuse cette action dans les paramètres de confidentialité. Cela ne se passe d'ailleurs que sous le client Android et permet d'éviter la duplication de compte.
Le pirate informatique qui a signalé la faille explique : “tout attaquant ayant une connaissance de base des scripts/codage peut énumérer une grande partie de la base d'utilisateurs de Twitter et créer une base de données avec des connexions de téléphone/e-mail à nom d'utilisateur. Ces bases peuvent être vendues à des parties malveillantes à des fins publicitaires ou dans le but de cibler des célébrités dans différentes activités malveillantes.”
Le 13 janvier suivant, la faille était résolue d'après le réseau social ainsi que le white hat. Il a par la même occasion reçu une récompense de 5000 dollars pour son aide. Le 11 février la conversation censurée a été publiée et rendue accessible à tous.
Les données de 5,4 millions de comptes vendus
Twitter a eu connaissance d’une faille en janvier, mais n’aurait pas réagi à temps pour la combler. Ce sont donc plusieurs millions de personnes qui ont été touchées par cette fuite de données. Le pirate a pu avoir accès aux e-mails ainsi qu’aux numéros de téléphone associé à chaque compte. Aucune information sensible supplémentaire n’aurait fuité.
Selon le hacker qui a décidé de vendre les données de 5,4 millions d’utilisateurs, on y retrouve les informations d’entreprises, de célébrités et d’anonymes. Le site RestorePrivacy affirme que les données sont vendues par le pirate pour 30 000 dollars. Selon lui il s’agit d’une faille majeure que le réseau social n’a pas comblée suffisamment vite, prouvant “l’incompétence de Twitter”.
Il aura donc fallu 13 jours à Twitter pour combler une faille qui n’était pas publique. Cela risque de fortement accélérer le patch de problèmes de sécurité sur le réseau social à l’avenir. Le pirate qui a vendu les données dit vouloir envoyer un message, tout en vendant les données de gens qui n’ont rien à voir avec l'organisation de Twitter. Difficile de trouver crédible cette revendication, qui lui rapporte tout de même 30 000 dollars à chaque vente…