Twitter vient de confirmer avoir été victime d’une énorme faille 0-day à son insu pendant plusieurs mois. La faille en question a été repérée par un hacker éthique puis patchée par Twitter en janvier. Mais le réseau social s’est rendu compte après enquête que le problème vient en fait d’une mise à jour du code de Twitter datant de juin 2021.
Ce qui a laissé plusieurs mois la possibilité d’exploiter cette faille de sécurité. Concrètement la faille en question permettait de retrouver tous les comptes Twitter associés à une adresse email donnée. Autrement dit il devient possible de retrouver tous les comptes secrets des utilisateurs – et mettre un visage dessus.
La faille 0-day qui a touché Twitter permettait de retrouver tous les comptes secrets liés à une adresse mail
Twitter affirme “ne pas avoir de preuve qu’une personne ait pu exploiter cette vulnérabilité”. Mais tout le monde ne semble pas d’accord avec ces propos rassurants. Nos confrères de Bleeping Computer, notamment, relient cette faille 0-day à une énorme base de données en vente sur un forum spécialisé.
On vous en a d’ailleurs déjà parlé il y a quelques jours. Le pirate en question, qui se fait appeler “devil”, propose ainsi une base de donnée avec les identifiants de plus de 5,4 millions de comptes – contre la somme de 30 000 dollars. Et de préciser que les comptes “vont de ceux de célébrités à ceux d’entreprises en passant par des comptes au hasard, comptes originaux, etc.”.
Twitter avait alors confirmé que ses données avaient été compromises après ce piratage. Selon The Verge, néanmoins, il est possible que le problème aille bien au-delà de ces quelques millions de comptes. En effet, à cause de la méthode employée, il est très difficile pour Twitter de confirmer de son côté quels comptes ont pu ainsi être compromis.
Ainsi le réseau social aurait déjà écrit directement aux utilisateurs qu’il soupçonne d’être impactés à en croire le blog – sans pouvoir être 100% certain d’avoir réellement prévenu l’ensemble des personnes concernées. Si vous avez des comptes Twitter que vous voulez absolument garder secrets, le meilleur conseil est de les associer à une adresse mail différente que seul vous connaissez.
Lire aussi – Twitter, GitHub, AWS… des milliers d’apps laissent fuiter les clés de vos comptes
Il est également fortement conseillé de changer de mot de passe suite aux derniers piratages – et d’activer si ce n’est pas déjà fait l’authentification double facteurs.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.