La faille de sécurité de l'API Twitter expose les données de 5,4 millions d'utilisateurs

Rejoignez des cadres supérieurs à San Francisco les 11 et 12 juillet pour découvrir comment les dirigeants intègrent et optimisent les investissements en IA pour réussir. Apprendre encore plus

En juillet de cette année, les cybercriminels ont commencé à vendre les données utilisateur de plus de 5,4 millions d'utilisateurs de Twitter sur un forum de piratage après avoir exploité une vulnérabilité d'API révélée en décembre 2021.

Récemment, un pirate informatique a publié ces informations gratuitement, tout comme d'autres chercheurs ont signalé une violation affectant des millions de comptes dans l'UE et aux États-Unis.

Selon un article de blog de Twitter en août, l'exploit a permis aux pirates de soumettre des adresses e-mail ou des numéros de téléphone à l'API pour identifier le compte auquel ils étaient liés.

Bien que Twitter ait corrigé la vulnérabilité en janvier de cette année, il a tout de même exposé des millions de numéros de téléphone et d'adresses e-mail privés d'utilisateurs, et souligne que l'impact des API exposées peut être dévastateur pour les organisations modernes.

Transformer 2023

Rejoignez-nous à San Francisco les 11 et 12 juillet, où des cadres supérieurs partageront comment ils ont intégré et optimisé les investissements en IA pour réussir et éviter les pièges courants.

La violation de Twitter survient au milieu d'une vague d'attaques d'API, Salt Security signalant que 95 % des organisations ont rencontré des problèmes de sécurité dans les API de production au cours des 12 derniers mois, et 20 % ont subi une violation de données en raison de failles de sécurité dans les API.

Ce taux d'exploitation élevé correspond à la prédiction de Gartner selon laquelle les attaques d'API deviendraient le vecteur d'attaque le plus fréquent cette année.

L'une des tristes réalités des attaques d'API est que les vulnérabilités de ces systèmes donnent accès à des quantités de données sans précédent, dans ce cas, les enregistrements de 5,4 millions d'utilisateurs ou plus.

"Parce que les API sont destinées à être utilisées par les systèmes pour communiquer entre eux et échanger d'énormes quantités de données, ces interfaces représentent une cible séduisante pour les acteurs malveillants", a déclaré Avishai Avivi, SafeBreach CISO.

Avivi note que ces vulnérabilités fournissent un accès direct aux données sous-jacentes.

"Alors que les vulnérabilités logicielles traditionnelles et les vulnérabilités des API partagent certaines caractéristiques communes, elles sont différentes dans leur essence. Les API, dans une certaine mesure, font confiance au système qui tente de s'y connecter", a déclaré Avivi.

Cette confiance est problématique car une fois qu'un attaquant accède à une API, il a un accès direct aux bases de données sous-jacentes d'une organisation et à toutes les informations qu'elles contiennent.

La menace la plus importante qui émerge de cette violation est l'ingénierie sociale. En utilisant les noms et adresses récoltés à partir de cette violation, il est possible que les cybercriminels ciblent les utilisateurs avec des escroqueries par hameçonnage par e-mail, hameçonnage vocal et smishing pour essayer d'inciter les utilisateurs à transmettre des informations personnelles et des identifiants de connexion.

"Avec autant d'informations divulguées, les criminels pourraient très facilement les utiliser pour lancer des attaques d'ingénierie sociale convaincantes contre les utilisateurs. Cela pourrait être non seulement pour cibler leurs comptes Twitter, mais aussi en usurpant l'identité d'autres services tels que les sites d'achat en ligne, les banques ou même les bureaux des impôts. ", a déclaré Javvad Malik, défenseur de la sensibilisation à la sécurité chez KnowBe4.

Bien que ces escroqueries ciblent les utilisateurs finaux, les organisations et les équipes de sécurité peuvent fournir des mises à jour en temps opportun pour s'assurer que les utilisateurs sont conscients des menaces qu'ils sont les plus susceptibles de contrer et de la manière de les traiter.

"Les gens doivent toujours rester à l'affût de toute communication suspecte, en particulier lorsque des informations personnelles ou sensibles sont demandées telles que des mots de passe", a déclaré Malik. "En cas de doute, les gens doivent contacter directement le fournisseur de services présumé ou se connecter directement à leur compte."

C'est également une bonne idée pour les équipes de sécurité de rappeler aux employés d'activer l'authentification à deux facteurs sur leurs comptes personnels afin de réduire le risque de connexions non autorisées.

La mission de VentureBeat est d'être une place publique numérique permettant aux décideurs techniques d'acquérir des connaissances sur la technologie d'entreprise transformatrice et d'effectuer des transactions. Découvrez nos Briefings.