Ce que signifie vraiment la fuite de 200 millions d’e-mails sur Twitter

Après des rapports à la fin de 2022 selon lesquels des pirates vendaient des données volées à 400 millions d’utilisateurs de Twitter, les chercheurs disent maintenant qu’un trésor largement diffusé d’adresses e-mail associées à environ 200 millions d’utilisateurs est susceptible d’être une version expurgée de la plus grande collection avec la suppression des entrées en double. Le réseau social n’a pas encore commenté l’exposition massive, mais le cache de données montre à quel point la fuite était grave et qui pourrait être le plus à risque en conséquence.

De juin 2021 à janvier 2022, il y avait un bogue dans l’interface de programmation d’application Twitter, ou API, qui permettait aux attaquants d’envoyer des informations de contact telles que des adresses e-mail et de recevoir le compte Twitter associé, le cas échéant, en retour. Avant qu’il ne soit corrigé, les attaquants ont exploité la faille pour « scraper » les données du réseau social. Et bien que le bogue n’ait pas permis aux pirates d’accéder aux mots de passe ou à d’autres informations sensibles comme les DM, il a révélé la communication entre les comptes Twitter, qui sont souvent des pseudonymes, et leurs adresses e-mail et numéros de téléphone associés, ce qui pourrait conduire à l’identification de l’utilisateur.

Bien qu’elle existe, la vulnérabilité a apparemment été exploitée par plusieurs acteurs pour créer différents ensembles de données. Celui qui circulait dans les forums criminels depuis l’été comprenait des adresses e-mail et des numéros de téléphone Environ 5,4 millions d’utilisateurs de Twitter. Le méga groupe nouvellement apparu semble ne contenir que des adresses e-mail. Cependant, la circulation à grande échelle des données crée un risque qu’elle alimente les attaques de phishing, les tentatives d’usurpation d’identité et d’autres ciblages individuels.

Twitter n’a pas répondu aux demandes de commentaires de WIRED. compagnie livres À propos de la vulnérabilité de l’API dans la divulgation d’août : « Lorsque nous en avons pris connaissance, nous avons immédiatement enquêté et corrigé. À l’époque, nous n’avions aucune preuve suggérant que quelqu’un avait exploité la vulnérabilité. » Apparemment, la télémétrie Twitter n’était pas suffisante pour détecter le scraping malveillant.

Twitter n’est pas la première plate-forme à exposer les données à un grattage massif via une faille d’API, et il est courant dans de tels scénarios d’avoir Confusion sur le nombre d’ensembles de données distincts qui existent réellement résultat d’une exploitation malveillante. Cependant, ces incidents sont toujours importants, car ils ajoutent des connexions et une validation supplémentaires à l’énorme masse de données volées déjà présentes dans l’écosystème criminel sur les utilisateurs.

« De toute évidence, de nombreuses personnes étaient au courant de cette vulnérabilité de l’API et de nombreuses personnes l’ont supprimée. Différentes personnes ont-elles récupéré différentes choses ? Combien y a-t-il d’enterrements ? Peu importe. Hunt a digéré l’ensemble de données Twitter de HaveIBeenPwned et a déclaré qu’il représentait des informations sur plus de 200 millions de comptes. Quatre-vingt-dix-huit pour cent des adresses e-mail avaient déjà été exposées lors de violations précédentes enregistrées par HaveIBeenPwned. Hunt dit avoir envoyé des notifications par e-mail à près de 1 064 000 des 4 400 000 millions d’abonnés à son service.

« C’est la première fois que j’envoie un e-mail à sept chiffres », dit-il. « Près d’un quart de mon nombre total d’abonnés est vraiment important. Mais comme une grande partie de cela était déjà là, je ne pense pas que ce serait un incident avec une longue queue en termes d’impact. Ils voulaient garder leur vie privée . »

Twitter a écrit en août qu’il partageait cette inquiétude quant à la possibilité que des comptes d’utilisateurs pseudonymes soient liés à leurs identités réelles en raison de la vulnérabilité de l’API.

« Si vous exploitez un compte Twitter pseudonyme, nous comprenons les risques qu’un incident comme celui-ci peut poser et nous regrettons profondément que cela se soit produit », a écrit la société. Pour garder votre identité aussi anonyme que possible, nous vous recommandons de ne pas ajouter de numéro de téléphone ou d’adresse e-mail publiquement connue à votre compte Twitter.

Pour les utilisateurs qui n’ont pas encore lié leurs identifiants Twitter aux comptes de messagerie du graveur au moment du grattage, le conseil arrive trop tard. En août, le réseau social a déclaré avoir informé les personnes potentiellement concernées de la situation. La société n’a pas précisé si elle fournirait un avis supplémentaire à la lumière des centaines de millions de documents exposés.

Commission irlandaise de protection des données Il a dit Le mois dernier, il enquêtait sur un incident qui a exposé 5,4 millions d’adresses e-mail et de numéros de téléphone aux utilisateurs. Twitter fait actuellement l’objet d’une enquête de la part de la Federal Trade Commission des États-Unis pour savoir si l’entreprise a violé un « décret de consentement » qui obligeait Twitter à améliorer les données des utilisateurs et la protection de la vie privée des utilisateurs.

Cette histoire est apparue à l’origine filaire.com.