Il n’a pas confirmé un rapport selon lequel des données sur 5,4 millions d’utilisateurs ont été proposées à la vente en ligne en conséquence, mais a déclaré vendredi que les utilisateurs du monde entier étaient touchés.
La violation est particulièrement inquiétante car de nombreux propriétaires de comptes Twitter, y compris des militants des droits de l’homme, ne divulguent pas leur identité dans leurs profils pour des raisons de sécurité qui incluent la crainte d’être persécutés par les autorités répressives.
C’est très mauvais pour beaucoup de ceux qui utilisent des comptes Twitter pseudonymes », a tweeté l’expert en sécurité des données de l’US Naval Academy, Jeff Kosseff.
La vulnérabilité a permis à quelqu’un de déterminer lors de la connexion si un numéro de téléphone ou une adresse e-mail particulier était lié à un compte Twitter existant, révélant ainsi les propriétaires du compte, a déclaré la société.
Twitter a déclaré qu’il ne savait pas combien d’utilisateurs pouvaient avoir été touchés et a souligné qu’aucun mot de passe n’avait été exposé.
Nous pouvons confirmer que l’impact a été mondial, a déclaré un porte-parole de Twitter par e-mail. Nous ne pouvons pas déterminer exactement combien de comptes ont été touchés ou l’emplacement des titulaires de compte. »
La reconnaissance de Twitter dans un article de blog vendredi faisait suite à un rapport du mois dernier du groupe de défense de la confidentialité numérique Restore Privacy détaillant comment les données vraisemblablement obtenues à partir de la vulnérabilité étaient vendues sur un forum de piratage populaire pour 30 000 $.
Un chercheur en sécurité a découvert la faille en janvier, a informé Twitter et a reçu une prime de 5 000 $. Twitter a déclaré que le bogue, introduit dans une mise à jour logicielle de juin 2021, avait été immédiatement corrigé.
Twitter a déclaré avoir appris la vente de données sur le forum de piratage à partir de reportages dans les médias et a confirmé qu’un mauvais acteur avait profité du problème avant qu’il ne soit résolu.
Il a déclaré qu’il informait directement tous les propriétaires de comptes qu’il pouvait confirmer qu’ils étaient concernés.
Nous publions cette mise à jour car nous ne sommes pas en mesure de confirmer tous les comptes potentiellement impactés et sommes particulièrement attentifs aux personnes ayant des comptes pseudonymes qui peuvent être ciblées par l’État ou d’autres acteurs, a déclaré la société.
Il a recommandé aux utilisateurs cherchant à garder leur identité voilée de ne pas ajouter de numéro de téléphone ou d’adresse e-mail publiquement connu à leur compte Twitter.
Si vous exploitez un compte Twitter pseudonyme, nous comprenons les risques qu’un incident comme celui-ci peut introduire et regrettons profondément que cela se soit produit, a-t-il déclaré.
La révélation de la violation survient alors que Twitter est dans une bataille juridique avec le PDG de Tesla, Elon Musk, au sujet de sa tentative de revenir sur son offre précédente d’acheter Twitter basé à San Francisco pour 44 milliards de dollars.
