Un hacker a exploité une faille connue publiquement, depuis plus de sept mois, pour mettre en vente une base de données massive.

Une énième fuite d’informations a frappé les réseaux sociaux. Selon un rapport du site Restore Privacy du 21 juillet 2022, un pirate informatique a vendu les données de 5,4 millions d’utilisateurs de Twitter, pour environ 30 000 euros sur un forum fréquenté par des cybercriminels.

Les experts ont contacté le vendeur en question, confirmant qu’une base de données du réseau social était bien en vente. Le fichier contenait les noms d’utilisateurs, les adresses mail correspondantes ainsi que les numéros de téléphone. Aucun mot de passe n’a été récupéré, en revanche. La base de données n’est plus disponible sur le forum.

forum hacker
Le post du hacker en question; capturé par le média Bleeping Computer. // Source : Bleeping Computer

Une faille déjà connue

Le pirate aurait profité d’une faille de sécurité repérée en décembre 2021 et partagée publiquement. C’est un hacker éthique qui avait décelé ce bug dans le code du réseau social. Il a décrit la brèche dans un post sur le site Hackerone en janvier. « Une vulnérabilité permet à n’importe quelle partie de récupérer un identifiant Twitter en soumettant un numéro de téléphone/e-mail même si l’utilisateur en question a bloqué cette recherche dans les paramètres de confidentialité », décrit l’expert sous le pseudonyme « Zhirinovskiy ».

« Ce bug existe en raison du processus d’autorisation utilisé par les utilisateurs Android, en particulier dans la vérification de la duplication d’un compte Twitter. » Twitter avait même récompensé le chercheur avec un chèque de 5 040 dollars. Malgré tout, les hackers ont pu exploiter cette faille, ce qui signifie que la plateforme n’a pas été en mesure de corriger à temps cette vulnérabilité. Ce qui pose d’autant plus question sur les mesures de sécurité prises par les réseaux sociaux.