Twitter annonce avoir été victime d’une violation de données. Elle a permis de divulguer les adresses e-mail et les numéros de téléphone d’utilisateurs. Le problème a été révélé suite à la publication par un pirate d’un petit échantillon de ces données dérobées.
Le réseau social explique dans une intervention sur son blog officiel la raison de cette défaillance informatique. Il est expliqué que les développeurs ont mis à jour le code du site en juin 2021, dans un cadre normal de maintenance. Le code en question n’a cependant pas été optimal du côté sécurité. En clair il s’est accompagné d’un bug permettant lors de la soumission d’une adresse e-mail ou d’un numéro de téléphone via un formulaire de connexion de révéler le compte associé.
Un premier rapport sur le bug a été reçu en janvier 2022 et la vulnérabilité a été corrigée pour protéger les utilisateurs. Malheureusement cette période entre l’arrivée du problème à sa correction est importante au point que de nombreux pirates ont pu exploiter cette faille.
Pourquoi Twitter a attendu 6 mois pour révéler cette violation de données personnelles ?
Le rapport explique que certaines sources ont annoncé que les pirates avaient probablement utilisé ce bug et ainsi accédés à des données sensibles. Twitter a examiné une partie des données publiées en ligne. La mauvaise nouvelle est alors tombée, un pirate a effectivement dérobé des données.
Le réseau social dit qu’il n’est pas en mesure de confirmer si tous les utilisateurs sont affectés ou non. Il est prévu d’alerter les victimes. Twitter a tenté d’être rassurant en indiquant qu’aucun mot de passe n’avait été compromis. Par contre certaines informations restent confidentielles comme le nombre de victime et l’étendue de l’attaque. Selon Bleeping Computer un pirate affirme détenir des données de plus de 5,4 millions de comptes. Ces informations auraient été mise en vente sur le Dark Web pour le somme de 30 000 $.
Comme il s’agit d’une vulnérabilité côté serveur, les utilisateurs ne peuvent rien faire. Twitter a conseillé d’activer l’authentification à 2 facteurs pour protéger ses comptes.
ATTENTION.
Si vous recevez un e-mail de Twitter vous demandant de vous connecter à votre compte, faites attention au nom de l’expéditeur, à l’URL, etc. Il pourrait bien s’agir d’une tentative de phishing.
C’est quoi une violation de données personnelles ?
L’article 4.12 du RGPD définit une violation de données à caractère personnel comme
une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.