Twitter a déclaré mercredi que son enquête n’avait trouvé « aucune preuve » que les données des utilisateurs vendues en ligne aient été obtenues en exploitant les failles de sécurité de ses systèmes.
« Sur la base des informations et des informations analysées pour enquêter sur le problème, rien ne prouve que les données vendues en ligne aient été obtenues en exploitant une vulnérabilité des systèmes Twitter », a déclaré la société. m’a dit dans un rapport. « Les données sont probablement une collection de données déjà accessibles au public en ligne via différentes sources. »
La divulgation fait suite à plusieurs rapports que les données Twitter appartenant à des millions d’utilisateurs – 5,4 millions en novembre 2022, 400 millions en décembre 2022 et 200 millions la semaine dernière – ont été mises en vente sur des forums criminels en ligne.
Le géant des médias sociaux a en outre déclaré que la violation « ne pouvait être corrélée à l’incident signalé précédemment, ni à aucun nouvel incident », ajoutant qu’aucun mot de passe n’avait été exposé. Les deux ensembles de données publiés en décembre et janvier seraient identiques, ce dernier ayant les entrées en double supprimées.
Twitter, en août 2022, a reconnu qu’un changement de code en juin 2021 avait introduit un bogue d’API qui permettait aux utilisateurs de lier des comptes Twitter à une adresse e-mail ou un numéro de téléphone particulier. La faille a ensuite été exploitée pour récupérer les informations de 5,48 millions de profils d’utilisateurs.
Ryushi, l’acteur menaçant qui a annoncé le vidage des données sur le forum de piratage Breached en décembre 2022, revendiqué les informations ont été compilées à l’aide de la vulnérabilité désormais corrigée. On ne sait actuellement pas comment l’ensemble de données a été obtenu et s’il a été amassé avant la correction de la faille en janvier 2022.
La Commission irlandaise de protection des données (DPC) annoncé le mois dernier, il enquête sur la fuite de données concernant 5,4 millions d’utilisateurs de Twitter dans le monde en novembre, qui, selon Twitter, sont « les mêmes que celles exposées en août 2022 ».
La société appartenant à Elon Musk a également déclaré qu’elle était en contact avec les autorités compétentes en matière de protection des données pour clarifier les « incidents présumés », tout en avertissant les utilisateurs d’activer l’authentification à deux facteurs (2FA) et soyez à l’affût des tentatives potentielles d’hameçonnage.