Les données des comptes Twitter de 200 millions d’utilisateurs, dont le PDG de Google, Sundar Pichai et Donald Trump Jr. , peuvent désormais être obtenues librement sur un forum de pirates, selon des chercheurs en sécurité.
Les chercheurs de Privacy Affairs, une organisation d’experts de plusieurs pays, affirment que les connaissances proviennent de la même quantité de données provenant de 400 millions d’utilisateurs de Twitter qui ont été mises en vente sur le Web sombre pour 200 000 dollars en décembre.
Il s’agit d’une nouvelle fuite de connaissances, disent les chercheurs, mais la suppression des connaissances en double de la cache a été mise en vente le mois dernier.
La connaissance comprend le nom du compte, le surnom, la date de création, le nombre d’abonnés et l’adresse e-mail. Ils viennent également avec des comptes créés par diverses organisations telles que SpaceX, CBS Media et la National Basketball Association.
Ils ne viennent pas avec des mots de passe. Cependant, les chercheurs avertissent que « la disponibilité des adresses e-mail liées aux comptes indexés peut être utilisée pour apprendre l’identité réelle ou l’emplacement des titulaires de comptes affectés grâce à des attaques d’ingénierie sociale. Les adresses e-mail peuvent également être utilisées pour le spam ou des campagnes de marketing frauduleuses et pour envoyer des menaces non publiques à des utilisateurs individuels.
Les pirates prétendent avoir reçu ces informations en récupérant les données collectées via Twitter auprès de leurs utilisateurs. Cependant, les enquêteurs admettent qu’ils ne savent pas comment l’information a été reçue. L’approche maximale probablement utilisée peut avoir été l’abus d’une interface de programmation d’application. (API) vulnérabilité.
Le grattage de données Twitter n’a rien de nouveau. Tout ce que l’on a à faire est de Google « Twitter scrape » pour obtenir des conseils et des outils pour le faire.
« Le format indéniable et structuré de Twitter et ses objectifs de publication rendent relativement indéniable la navigation et la collecte », a écrit Phoenix en février dernier sur un site appelé Just Understanding Data. L’API de Twitter permet aux utilisateurs de lire et d’écrire des connaissances Twitter, a-t-il ajouté, notant que l’API Twitter, plutôt que l’extraction de connaissances, garantit le respect des conditions d’utilisation de Twitter, mais n’est pas aussi efficace ou flexible que l’utilisation de services d’extraction.
Selon le service de données Bleeping Computer, ce nouveau cache de connaissances est gratuit, mais ne coûte que 2,00 $.
Privacy Affairs indique que dans le forum de hackers où ce type de connaissances est commercialisé, un utilisateur devra acquérir des « crédits » pour télécharger les fuites publiées par les utilisateurs du forum. Montrer des connaissances sur le forum est gratuit, cependant, le site facture des crédits (~ 2 $) pour lancer un téléchargement.
Bleeping Computer note également que, depuis le 22 juillet, les pirates informatiques font la promotion et distribuent des ensembles de connaissances géants de profils d’utilisateurs Twitter collectés contenant des connaissances personnelles (numéros de téléphone et adresses e-mail) et des connaissances publiques sur les forums de pirates en ligne. Ces ensembles de connaissances ont été créés en 2021 en exploitant une vulnérabilité dans l’API Twitter qui permettait aux utilisateurs d’entrer des adresses e-mail et des numéros de téléphone pour vérifier s’ils étaient liés à un identifiant Twitter. Les cybercriminels ont ensuite utilisé une autre API pour récupérer les connaissances publiques de Twitter à des fins d’identification et ont combiné ces connaissances publiques avec des e-mails personnels. adresses/numéros de téléphone pour créer des profils d’utilisateurs Twitter.
Bien que Twitter ait corrigé cette faille en janvier 2022, selon le rapport, les cybercriminels ont récemment commencé à divulguer gratuitement les ensembles de données qu’ils ont collectés il y a plus d’un an.
L’article original se trouve dans IT World Canada, une publication sœur de Direction informatique.
Adapté et traduit en Français par Renaud Larue-Langlois.
La source de données de contrôle informatique au Québec