Posté le juillet 27, 2022 à 8:17
UN HACKER PROPOSE 5,4 MILLIONS DE COMPTES TWITTER POUR 30 000 $ SUR LE DARK WEB
Les acteurs de menaces ne limitent plus leurs cibles aux individus et aux petites organisations. Le géant des médias sociaux a récemment été victime d’une violation de données après qu’un hacker a constitué une base de données de numéros de téléphone et d’adresses électroniques via une vulnérabilité. Selon le rapport, la violation de données a entraîné la compromission de plus de 5,4 millions de comptes, les données étant désormais proposées sur le dark net pour 30 000 dollars.
Un hacker portant le pseudonyme « devil » a déclaré sur un forum darknet que la base de données volée contient des informations sur différents comptes, notamment des entreprises, des célébrités et des utilisateurs de rançons. Les personnes prêtes à acheter la base de données espèrent ainsi obtenir les détails des comptes de ces entreprises et célébrités en vue d’une usurpation d’identité ou d’autres formes d’attaques.
« Bonjour, aujourd’hui je vous présente des données collectées sur plusieurs utilisateurs qui utilisent Twitter via une vulnérabilité », a déclaré le hacker qui vend la base de données.
Des acheteurs montrent de l’intérêt pour la base de données
BleepingComputer a engagé une conversation avec le hacker et a appris que l’attaque était possible via une faille permettant de voler les données en décembre 2021. Le hacker a déclaré que de nombreux acheteurs s’intéressent à la base de données.
Les rapports révèlent que la faille qui a ouvert les portes au hacker pour l’attaque est la même que celle divulguée à Twitter via HackerOne le 1er janvier et corrigée le 13 janvier.
La faille permet à des acteurs de menaces ou à toute personne non autorisée d’obtenir un identifiant Twitter, qui a presque le même privilège que d’obtenir le nom d’utilisateur d’un compte. Elle donne au hacker un tel accès en soumettant un numéro de téléphone ou un e-mail, même si l’utilisateur bloque cette action dans les paramètres de confidentialité. En d’autres termes, la vulnérabilité permet à des personnes non authentifiées de contourner les paramètres d’authentification et d’accéder aux données de l’utilisateur.
La faille existe à cause du processus d’autorisation utilisé dans le client Android de Twitter, qui vérifie la duplication d’un compte sur la plateforme. Dans la conversation avec BleepingComputer, « Devil » a déclaré n’avoir jamais utilisé HackerOne et être affilié à Jirinovsky.
Le hacker a également déclaré que la vulnérabilité permet à une personne non autorisée de renseigner des numéros de téléphone et des adresses électroniques pour savoir s’ils sont associés à un compte Twitter et de voler l’identifiant de ce compte. Une fois qu’ils ont récupéré l’ID, les hackers créent un profil d’utilisateur pour l’utilisateur en mettant au rebut le reste des données publiques.
Twitter déclare que l’incident fait l’objet d’une enquête
Le bug a été décrit comme ayant des caractéristiques similaires à la méthode de piratage utilisée pour extraire les données des comptes Facebook de 533 millions d’utilisateurs l’année dernière.
Twitter n’a pas encore confirmé l’incident de piratage. Mais lorsque le géant des médias sociaux a été contacté, il a déclaré qu’une enquête sur l’incident était en cours et que l’authenticité de la déclaration n’avait pas encore été prouvée.
Twitter a déclaré que le signalement de la prétendue violation avait été reçu il y a plusieurs mois par l’intermédiaire de son programme de primes aux bugs. Elle a ajouté qu’elle a fait l’objet d’une enquête immédiate et qu’un correctif a été fourni par la suite.
« Comme toujours, nous nous engageons à protéger la vie privée et la sécurité des personnes qui utilisent Twitter », a déclaré la société.
La société a ajouté qu’elle était reconnaissante envers les hackers white hat qui participent à son programme de primes aux bugs, car ils ont contribué à maintenir la plateforme aussi sure que possible. Grâce à ce programme, la société a pu identifier des vulnérabilités potentielles, dont celle-ci.
La société a ajouté qu’elle enquêtait sur les dernières données pour en vérifier l’authenticité et assurer la sécurité des comptes concernés.
Les informations privées sont authentiques
BleepingComputer a déclaré avoir vérifié certains des détails figurant dans le petit échantillon partagé par le hacker. Selon la plateforme, l’échantillon de données contient des numéros de téléphone et des adresses électroniques exacts. Cependant, seule une petite partie de la base de données a été vérifiée. Par conséquent, on ne peut pas affirmer que les plus de 5,4 millions de comptes vendus sur le darknet sont tous authentiques.
Bien que la plupart des données proposées sur le darknet soient accessibles au public, les hackers peuvent utiliser les numéros de téléphone et les adresses électroniques dans des attaques de phishing ciblées. De plus, la grande collection de ces données sera très difficile pour quelqu’un de choisir les données séparément de différents comptes Twitter. Avec 5,4 millions de comptes, un hacker disposera d’une grande quantité de données pour mener une campagne de phishing.
Par conséquent, les utilisateurs ont été invités à faire preuve de prudence lorsqu’ils reçoivent des courriels de Twitter, en particulier ceux demandant des identifiants de connexion.
