Un hacker ou un groupe de hackers inconnu a mis en ligne une base de données contenant les adresses e-mail et les numéros de téléphone associés à 5.4 millions de comptes Twitter. L'attaquant a pu récupérer les données grâce à un bogue qui a depuis été corrigé.
La base de données est fournie sur les forums Breach et a été découverte par Restore Privacy. Les attaquants veulent « au moins 30,000 5,485,636 $ » pour la base de données. La base de données ne contient aucun mot de passe, mais contient les adresses e-mail ou les numéros de téléphone ou les deux d'un total de XNUMX XNUMX XNUMX utilisateurs de Twitter. L'attaquant affirme que la violation de données contient des comptes de célébrités et d'entreprises. Restore Privacy a pu déterminer que la fuite est authentique, mais pas si l'affirmation selon laquelle des noms célèbres s'y trouvaient.
L'attaquant a accédé à la vulnérabilité via une vulnérabilité connue qui a depuis été corrigée. La vulnérabilité a été présentée le 1er janvier sur la plateforme de bug bounty HackerOne par un chercheur en sécurité. C'était un bogue dans le client Android qui obligeait un attaquant à faire une requête POST à l'API d'intégration de Twitter. Le chercheur en sécurité décrit le problème en détail sur HackerOne. Twitter a détecté la vulnérabilité et l'a corrigée le 13 janvier. Les détails ont été publiés le 11 février et le chercheur a reçu une récompense de 5040 XNUMX $. On ne sait pas comment l'attaquant qui propose désormais la base de données a obtenu les informations pour effectuer le piratage.