La vulnérabilité de l’API Twitter expose des millions de personnes

La vulnérabilité de ces informations a donc été développée depuis longtemps. Le 24 novembre, les informations des 5,4 millions d’utilisateurs ont été supprimées, gratuitement, sur les forums en ligne de pirates.

A danger digne de confiance.

Bleeping Computer system, qui a téléchargé l’information, a confirmé sa provenance et sa signification, et a signalé que l’information était actuellement utilisée par un certain nombre d’acteurs dangereux pour voler des détails privés via Twitter.

De plus, on pense qu’un vidage d’informations encore plus important a été préparé, totalisant jusqu’à des dizaines d’innombrables enregistrements Twitter – une fois de plus composés à la fois d’e-mails, de numéros de téléphone et plus encore – en utilisant exactement le même Vulnérabilité de l’API. La nouvelle du méga-dépotoir a été annoncée au monde par le professionnel de la sécurité Chad Loder. Ironiquement peut-être, il a annoncé la nouvelle de la violation de Twitter… sur Twitter, qui a immédiatement suspendu son compte. Il a finalement annoncé la nouvelle en publiant des échantillons expurgés de la méga-violation sur le concurrent croissant de Twitter, Mastodon.

Poursuivant son enquête sur la violation de Twitter, Bleeping Computer a confirmé par la suite quelques-uns des échantillons informations contenues dans le message de Loder, ce qui signifie qu’elles doivent être traitées comme un danger crédible.

Qu’est-ce que cela pourrait suggérer ?

Ces types de violations de données sont normalement à la base d’énormes fraudes par hameçonnage, et bien qu’il soit difficile de croire que les attaques de phishing font toujours partie des types de cyberattaques les plus efficaces à l’approche de 2023, les e-mails qui semblent provenir de Twitter, s’ils sont correctement conçus, pourraient combler une grande partie de l’espace de confiance sur lequel le phishing les escroqueries dépendent.

Avec l’accès à des informations qui ne doivent être connues que des personnes et des entreprises avec lesquelles ils délèguent– comme Twitter, lorsque vous vous inscrivez pour un compte– il est tout à fait possible que la violation de Twitter et les vidages de données ultérieurs se formeront la base d’une nouvelle vague d’escroqueries par phishing dont la crédibilité sera pour le moins longue à vérifier. Les cyberattaquants pourraient bien être en mesure de concevoir des e-mails crédibles de suspension ou d’interdiction, ou des e-mails qui nécessitent de cliquer sur un lien pour « confirmer » des détails qui pourraient contourner le cyber-scepticisme naturel et croissant de nombreuses personnes.

Il serait potentiellement piquant d’observer que toute personne prête à remettre 8 $ pour un contrôle de vérification bleu pourrait bien être une simple cible pour une escroquerie par hameçonnage menaçant ou « recommandant » la perte ultérieure du bleu coche de validation.

Victimes de célébrités.

Le vidage de données initial de plus de 5 millions d’enregistrements d’utilisateurs se compose des détails de l’ancien président Barack Obama, de l’artiste controversé Ye (l’artiste précédemment appelé Kanye West), la star Meghan Markle-hater Piers Morgan, le co-fondateur de Microsoft Costs Gates, et – dans un mouvement qui remporte « Irony of the Year » pour 2022, le PDG de Twitter et provocateur en chef, Elon Musk.

Il convient de noter ces comptes importants, car bien sûr le phishing est le principal danger des violations d’informations comme celle-ci, mais l’usurpation de ces comptes de célébrités devient possible une fois que vous disposez d’informations authentiques sur lesquelles baser vos faux comptes. Cela implique que les e-mails frauduleux et compromis de personnes prétendant être Twitter lui-même ne sont que la première vague de dommages potentiels causés par le phishing à cause de ces vidages de données. Avec les informations d’identification appropriées, des e-mails pourraient être envoyés à partir de faux comptes semblant provenir de l’une des personnes compromises.

Profils fictifs.

Un risque supplémentaire, bien que moins périlleux, est qu’avec les informations d’identification Twitter appropriées, les mauvaises stars puissent établir des profils Twitter apparemment totalement légitimes au nom de l’une des célébrités victimes, et un lien facile dans leur biographie pourrait conduire à des pages de ransomware ou contaminer les téléphones ou les ordinateurs avec d’autres logiciels malveillants.

S’il y a une ironie suprême à propos de cette violation, c’est qu’elle s’est produite initialement avant qu’Elon Musk ne devienne PDG de Twitter. Considérant que sa prise de contrôle, le profil de Twitter, les revenus marketing et l’abonnement de base ont chuté, de nombreuses stars annonçant publiquement et bruyamment leur départ pour des plateformes alternatives, en particulier Mastodon. Cela indique que toute tentative d’usurpation de profils de célébrités aura probablement une fenêtre d’activité encore plus courte qu’elle ne l’aurait autrement, à moins que les cybercriminels ne parviennent à convaincre les utilisateurs de Twitter qu’ils sont les célébrités initiales et qu’ils sont « retournés » sur la plate-forme.

Comme toujours, la clé pour éviter d’être pris par des escroqueries par hameçonnage est de respirer profondément chaque fois qu’un e-mail imprévu peut être trouvé. Cela vous permet d’inspecter le matériel, le contexte et la probabilité de l’expéditeur. . En cas d’e-mails inhabituels provenant de Twitter ou d’un compte de célébrité, hésitez, signalez l’e-mail à l’entreprise ou à son représentant et, en aucun cas, ne cliquez sur un lien, même si l’e-mail vous oblige à le faire.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur