La réponse de Twitter aux fuites de données est une leçon sur la façon de ne pas faire de cybersécurité • TechCrunch

Twitter a finalement éclaté son silence sur le premier incident de sécurité de l’ère Musk : une prétendue violation de données qui a révélé les coordonnées de millions d’utilisateurs.

Fin décembre, une affiche sur un forum populaire sur la cybercriminalité a affirmé avoir récupéré les adresses e-mail et les numéros de téléphone de 400 millions d’utilisateurs de Twitter au moyen d’une faille de sécurité zero-day dans les systèmes de Twitter, précédemment accusés d’avoir exposé au moins 5 millions de comptes Twitter avant il a été corrigé en janvier 2022. La vente ultérieure d’un autre ensemble de données plus petit contenant les adresses e-mail associées à plus de 235 millions de comptes Twitter serait une version nettoyée de l’ensemble de données présumé de 400 millions d’utilisateurs de Twitter. Les chercheurs ont averti que les adresses e-mail, qui comprenaient les détails des politiciens, des journalistes et des personnalités publiques, pourraient être utilisées pour doxer des comptes pseudonymes.

Twitter, ou ce qu’il reste de l’entreprise, s’est penché sur la situation La semaine dernière.

Dans un article de blog non attribué, Twitter a déclaré avoir mené une “enquête approfondie” et n’avoir trouvé “aucune preuve” que les données vendues en ligne aient été obtenues en exploitant une vulnérabilité des systèmes de Twitter. Une absence de preuve, cependant, n’est pas une justification, car il n’est pas clair si Twitter dispose des moyens techniques, tels que les journaux, pour déterminer si des données d’utilisateur ont été exfiltrées. Au lieu de cela, la société a déclaré que les pirates avaient probablement fait circuler une collection de données extraites de violations passées et a déclaré que les données ne correspondaient à aucune des données obtenues en exploitant le bogue qui a été corrigé en janvier 2022.

Ce que Twitter dit peut très bien être vrai, mais il est difficile d’avoir confiance dans la déclaration de l’entreprise. La réponse erratique de Twitter soulève bon nombre des mêmes questions que les régulateurs voudront savoir : qui a été chargé d’enquêter sur cette violation, et Twitter a-t-il les ressources pour faire un travail approfondi ?

Une leçon importante sur ce que ne pas faire