Twitter est victime d’une nouvelle fuite de données. Grâce à une faille de sécurité, un pirate est parvenu à aspirer les données de 400 millions de comptes vérifiés. Il a mis en vente ces informations sur un forum et enjoint Elon Musk à lui faire une offre.
Un pirate informatique vient de mettre en vente une base de données contenant les informations personnelles de 400 millions de comptes Twitter vérifiés sur Breached, un forum de hackers. On y trouve les adresses mail et les numéros de téléphone de chaque compte. L’anonymat des internautes est donc compromis.
À lire aussi : l’Arcom s’inquiète des licenciements massifs décrétés par Elon Musk à la tête de Twitter
De nombreuses célébrités concernées
Dans l’annonce, le hacker, qui se fait appeler Ryushi, recommande à Elon Musk, nouveau patron de Twitter, d’acheter la base de données afin de protéger les membres du réseau social. Selon lui, un accord à l’amiable permettrait à la plate-forme américaine d’éviter une amende pour infraction au RGPD (règlement général sur la protection des données), en vigueur en Europe depuis 2018. Pour convaincre Elon Musk de sortir le chéquier, Ryushi rappelle que ces données sensibles peuvent faciliter le déploiement d’escroqueries ou d’attaques phishing.
Le pirate précise que la fuite inclut les données de nombreuses célébrités, dont des politiciens ou des dirigeants d’entreprise. Pour prouver ses dires, le hacker a partagé un échantillon des données volées. On y trouve par exemple des informations sur le compte Twitter de la démocrate américaine Alexandria Ocasio-Cortez ou du PDG de Google, Sundar Pichai. Plusieurs personnalités phares du monde des cryptomonnaies sont également concernées. C’est le cas de Vitalik Buterin, l’un des créateurs de la blockchain Ethereum.
BREAKING: Hudson Rock discovered a credible threat actor is selling 400,000,000 Twitter users data.
The private database contains devastating amounts of information including emails and phone numbers of high profile users such as AOC, Kevin O’Leary, Vitalik Buterin & more (1/2). pic.twitter.com/wQU5LLQeE1
— Hudson Rock (@RockHudsonRock) December 24, 2022
Les experts en sécurité informatique de Hudson Rock ont vérifié l’authenticité des données piratées. Après une vérification indépendante, les chercheurs ont estimé que le pirate dit la vérité. Il semble bien que les données de 400 millions d’usagers Twitter soient en vente. C’est aussi l’avis de DefiYield, une plate-forme de la finance décentralisée. Celle-ci explique avoir « vérifié chacun des 1 000 comptes donnés par le pirate ».
🚨 400 MILLION TWITTER ACCOUNTS DATA HAS LEAKED!!! 🚨
⚡️ EVERY TWITTER ACCOUNT INCLUDES: email, phone number, and username!
🚨 WE GOT IN TOUCH WITH HACKER 👇 pic.twitter.com/zL2SdLrbYn
— DeFiYield 🛡️ Web 3 Security (@DefiyieldSec) December 25, 2022
Le vendeur n’évoque pas de prix dans son annonce. Pour négocier le tarif, il faut contacter le pirate par message privé ou sur Telegram. Il précise que la base de données sera cédée à un prix élevé au plus offrant si Elon Musk ne réagit pas.
« Twitter ne m’a pas encore contacté, j’ai proposé les données en exclusivité s’ils le veulent, mais si je ne peux pas leur vendre, je prendrai les offres d’autres personnes », explique Ryushi sur le forum.
Une faille de sécurité chez Twitter
Sur le forum, Ryushi affirme avoir exploité une vulnérabilité dans le code de Twitter. Il prétend s’être servi de la brèche pour voler les données entre 2021 et 2022. Sur Linkedin, Alon Gal, PDG de la firme Hudson Rock, estime que le pirate s’est vraisemblablement appuyé sur une brèche de l’API (Application Programming Interface) de Twitter. Grâce à cet outil, il a pu siphonner les données de n’importe quel compte en contournant la sécurité du réseau social.
Aux yeux de l’expert, l’opération rappelle le piratage de Facebook en 2019. Cette année-là, un attaquant est parvenu à s’emparer des données de 533 millions d’utilisateurs inscrits sur le réseau social. Les numéros de téléphone de millions de Français sont notamment tombés entre les mains des pirates. D’après Facebook, un mystérieux hacker a détourné la fonction d’import de contacts pour exfiltrer les données stockées sur ses serveurs.
Le pirate de Twitter aurait procédé de la même manière. Pour mémoire, la fonction « Permettre aux personnes qui ont votre numéro de téléphone de vous trouver sur Twitter » est déjà à l’origine d’une fuite de données repérée quelques mois plus tôt. Introduite par le biais d’une mise à jour en juin 2021, la faille a été corrigée par les ingénieurs de Twitter début 2022. Avant que l’entreprise ne réagisse, plusieurs hackers ont visiblement profité de la vulnérabilité.