Le réseau social Twitter a confirmé ce 5 août l’importante faille de sécurité dont il a été victime résultant d’une mise à jour en juin 2021, liée au code Twitter. Cette faille de type dit « Zero-Day » (absence de correctif) a été découverte par un chercheur en sécurité qui a averti la firme. Les hackers ont profité de cette vulnérabilité en décembre alors qu’elle n’a été corrigée qu’en janvier de l’année suivante. 5 485 636 comptes ont été délestés de leurs informations.
En tout état de cause, cette vulnérabilité a été exploitée par au moins un pirate informatique qui a pu relier les comptes Twitter à diverses informations de leur propriétaire : pseudonyme, localisation géographique, URL du compte, numéro de téléphone, mail, photo de profil, nombre d’abonnés… En juillet de cette année, sur Breached Forums, ce pirate au « doux » surnom de « Devil » a en effet proposé 5,4 millions d’enregistrements d’utilisateurs pour 30 000 dollars. Sur le site BleepingComputer, il a même affirmé qu’il lui a suffi d’exploiter la faille pour voler ces données et que manifestement, des acheteurs étaient intéressés.
La firme américaine assure qu’aucun mot de passe n’a été volé et promet d’avertir tous les utilisateurs concernés par cette fuite, mais elle s’est dite « incapable de confirmer chaque compte qui a été potentiellement impacté ». L’entreprise a plutôt choisi de se concentrer sur les dossiers sensibles, autrement dit les personnes qui pourraient être ciblées par des gouvernements ou d’autres organisations. Aucun signe n’indique que des « acteurs étatiques » ont exploité cette vulnérabilité, mais le réseau social américain a de quoi s’inquiéter. Il est clair qu’un accès à de telles données par un régime autoritaire peut lui permettre de faire la chasse et d’emprisonner, voire d’éliminer ses opposants. Solution d’urgence préconisée par Twitter pour rester complètement anonyme, éviter de rajouter une adresse électronique ou un numéro de téléphone publiquement connus ! Et activer l’authentification à double facteur…
Une nouvelle mise à jour a été publiée pour précisément confirmer ou infirmer l’utilisation de cette faille à de mauvais desseins. Les victimes potentielles seront contactées directement par Twitter – certaines l’ont déjà été d’ailleurs. À noter que les utilisateurs peuvent contacter le service de protection des données via un formulaire sur le site de l’entreprise.