Crypto News

Fuite de données Twitter pour 5 millions d’utilisateurs repartagés en ligne gratuitement

Les données privées de Twitter concernant 5 millions d’utilisateurs ont été repartagées sur un forum de hackers jeudi dernier après avoir été divulguées pour la première fois en juillet.

Alors que la fuite de juillet s’est soldée par un prix de 30 000 dollars, la décharge de jeudi a été fournie gratuitement.

Informations privées de l’utilisateur révélées

Pompompurin, propriétaire du forum de piratage HackerOne, confirmé à BleepingComputer au cours du week-end que son site était responsable du vidage initial des données.

En décembre, un bogue de l’API Twitter a été découvert dans le cadre du programme de primes de bogues du forum, qui permettait aux utilisateurs de récupérer des identifiants Twitter spécifiques en soumettant un numéro de téléphone ou une adresse e-mail associés. Cela a permis aux acteurs de la menace de créer des enregistrements d’utilisateurs sur des millions de comptes en utilisant à la fois des informations publiques et privées.

Suffisamment de données ont été collectées en juillet pour qu’un acteur malveillant puisse commencer vente les informations privées de 5,4 millions d’utilisateurs pour 30 000 $ dans un forum en ligne. Ces données comprenaient des numéros de téléphone et des adresses e-mail, ainsi que des informations publiques telles que des noms, des identifiants Twitter, des emplacements, des noms de connexion et un statut vérifié.

De plus, une deuxième violation de données affectant 1,4 million d’utilisateurs suspendus a eu lieu, portant le total des profils concernés à près de 7 millions.

Le lot de données affectant 5,4 millions d’utilisateurs a été partagé librement sur un forum de piratage le 24 novembre. Selon Pompompurin, il s’agit bien des mêmes données qui étaient en vente pour des milliers de dollars en juillet et août.

“Ces enregistrements contiennent soit une adresse e-mail privée, soit un numéro de téléphone, et des données publiques supprimées, y compris l’identifiant Twitter du compte, le nom, le nom d’écran, le statut vérifié, l’emplacement, l’URL, la description, le nombre d’abonnés, la date de création du compte, le nombre d’amis, le nombre de favoris. , les statuts comptent et les URL des images de profil », a écrit BleepingComputer.

Une autre violation plus importante ?

Alors que le bogue de l’API utilisé pour découvrir les données avait été corrigé en janvier 2022, le même exploit aurait été utilisé pour promulguer une violation de données encore plus importante.

Expert en sécurité Chad Loder revendiqué autant sur Twitter mercredi dernier, affirmant qu’il avait reçu des “preuves” d’une violation affectant des millions d’utilisateurs américains et européens. “L’ensemble de données comprend des comptes vérifiés, des célébrités, des politiciens éminents et des agences gouvernementales”, a-t-il ajouté.

Le compte de Chad Loder a été suspendu peu de temps après la publication de ses affirmations.

Plusieurs entreprises de cryptographie y compris Celsius et OpenSea ont été victimes d’une violation de données par e-mail en juillet en raison d’un employé mécontent de Customer.io, qui gérait les communications avec les clients pour les deux entreprises.

OFFRE SPÉCIALE (Sponsorisé)

Binance Free 100 $ (Exclusif) : Utilisez ce lien pour vous inscrire et recevoir 100 $ gratuits et 10 % de réduction sur les frais de Binance Futures le premier mois (termes).

Offre spéciale PrimeXBT : utilisez ce lien pour vous inscrire et entrez le code POTATO50 pour recevoir jusqu’à 7 000 $ sur vos dépôts.

Articles similaires