Les noms d’utilisateur et les adresses e-mail de plus de 200 millions d’utilisateurs de Twitter ont t mis en ligne par des pirates. Selon des rapports de chercheurs en scurit et de mdias, les informations d’identification ont t compiles partir d’un certain nombre de violations antrieures de Twitter remontant 2021; des pirates ont alors dcouvert une vulnrabilit dans les systmes de scurit de Twitter. La faille a permis aux acteurs malveillants d’automatiser les recherches de comptes (saisir des adresses e-mail et des numros de tlphone en masse pour voir s’ils taient associs des comptes Twitter).
Bien que la base de donnes n’inclue pas les mots de passe des utilisateurs, elle reprsente nanmoins une menace pour la scurit des personnes concernes.
Une fuite de donnes dcrite comme contenant les adresses e-mail de plus de 200 millions d’utilisateurs de Twitter a t publie sur un forum de hackers populaire pour environ 2 dollars. Plusieurs mdias ont confirm la validit de la plupart des adresses e-mail rpertories dans la fuite.
Depuis le 22 juillet 2022, les acteurs malveillants et les collecteurs de violations de donnes vendent et diffusent de grands ensembles de donnes de profils d’utilisateurs Twitter rcuprs contenant la fois des donnes prives (numros de tlphone et adresses e-mail) et publiques sur divers forums de pirates en ligne et marchs de la cybercriminalit.
Ces ensembles de donnes ont t crs en 2021 en exploitant une vulnrabilit de l’API Twitter qui permettait aux utilisateurs de saisir des adresses e-mail et des numros de tlphone pour confirmer s’ils taient associs un identifiant Twitter. Les acteurs malveillants ont ensuite utilis une autre API pour rcuprer les donnes publiques de Twitter pour l’ID et ont combin ces donnes publiques avec des adresses e-mail/numros de tlphone privs pour crer des profils d’utilisateurs de Twitter.
Twitter a rvl cette vulnrabilit en aot 2022, affirmant avoir rsolu le problme en janvier de la mme anne suite un signalement via son programme de rmunrations pour la dcouverte de bogues. La socit a affirm l’poque qu’elle n’avait aucune preuve suggrant que quelqu’un avait profit de la vulnrabilit , mais les experts en cyberscurit avaient dj repr des bases de donnes d’informations d’identification Twitter vendre en juillet de cette anne. Cette base de donnes la plus rcente de plus de 200 millions de comptes semble avoir ses origines dans cette vulnrabilit vieille de plusieurs annes, qui est passe inaperue sur Twitter pendant environ sept mois.
Le premier ensemble de donnes de 5,4 millions d’utilisateurs a t mis en vente en juillet pour 30 000 $ et finalement publi gratuitement le 27 novembre 2022. Un autre ensemble de donnes contenant prtendument les donnes de 17 millions d’utilisateurs circulait galement en priv en novembre.
Plus rcemment, un pirate a commenc vendre un ensemble de donnes qui, selon lui, contenait 400 millions de profils Twitter collects l’aide de cette vulnrabilit.
Cette fois-ci, un acteur malveillant a publi un ensemble de donnes compos de 200 millions de profils Twitter sur le forum de piratage Breached pour huit crdits de la devise du forum, d’une valeur d’environ 2 dollars. Cet ensemble de donnes serait le mme que l’ensemble de 400 millions circulant en novembre mais nettoy pour ne pas contenir de doublons, rduisant le total environ 221 608 279 lignes, selon le PDG et fondateur de Privacy Affairs, Miklos Zoltan. Cependant, cette fois, les donnes peuvent tre tlcharges gratuitement par tous, au lieu d’tre mises en vente 200 000 dollars, comme c’tait le cas en dcembre , a-t-il crit.
Le cybercriminel semble confirmer cela :
[J’ai masqu les donnes de ce message, afin de minimiser les personnes qui le trouvent, car certaines des donnes au dbut du fichier ont t publies par les mdias]
J’ai combin les fichiers, converti en CSV, ajout un en-tte, chang les caractres de contrle non valides en « * », ddupliqu (y compris les 23 M qui taient identiques l’exception du nombre diffrent d’abonns), rendu les dates plus petites et conviviales pour l’ordinateur, et supprim les espaces qui apparaissaient avant certains e-mails. J’ai galement utilis une compression trs leve, donc le fichier compress fait un peu plus de 4 Go. Je ne l’ai pas tri intentionnellement, donc les curieux auront plus de facilit le comparer l’original.
Nous obtenons 209 595 668 enregistrements [NOTEZ QUE : les reportages de 400 millions d’utilisateurs sont bass sur la non-dduplication ; les nouveaux rapports de 235 millions d’utilisateurs sont bass sur des novices qui ont ddupliqu sans supprimer les 23 millions d’utilisateurs rpertoris deux fois avec un nombre diffrent d’abonns. Les rapports de 211 millions d’utilisateurs sont probablement dus des personnes effectuant une dduplication sensible la casse (donc « Joe@me.com » et « joe@me.com » seraient considrs comme 2 adresses e-mail diffrentes, ce qui n’est pas le cas)]
L’analyse des dates de fichier d’origine et des dates de cration de compte suggre fortement que cela a t collect du dbut novembre 2021 au 14 dcembre 2021.
Les donnes ont t publies sous forme d’archive RAR compose de six fichiers texte pour une taille combine de 59 Go de donnes.
Chaque ligne des fichiers reprsente un utilisateur de Twitter et ses donnes, qui incluent les adresses e-mail, les noms, les noms d’cran, le nombre de suivis et les dates de cration de compte. Contrairement aux donnes prcdemment divulgues collectes l’aide de cette faille de l’API Twitter, la fuite n’indique pas si un compte est vrifi.
Bien que les mdias aient t en mesure de confirmer que les adresses e-mail sont correctes pour de nombreux profils Twitter rpertoris, l’ensemble de donnes complet n’a videmment pas t confirm. De plus, l’ensemble de donnes est loin d’tre complet, car de nombreux utilisateurs n’ont pas t trouvs dans la fuite. La prsence ou non de vos informations dans cet ensemble de donnes dpend fortement du fait que votre adresse e-mail ait t expose lors de prcdentes violations de donnes.
Certaines des personnes et organisations bien connues incluses dans la nouvelle fuite de base de donnes de 63 Go incluent Donald Trump Jr., le PDG de Google Sundar Pichai, SpaceX, la National Basketball Association des tats-Unis, CBS Media et l’Organisation mondiale de la sant, selon le blog de Zoltan sur le violation.
La raction des experts en cyberscurit
C’est l’une des fuites les plus importantes que j’ai vues , a dclar Alon Gal, co-fondateur de la socit isralienne de cyberscurit Hudson Rock, dans un article dcrivant le piratage sur LinkedIn. [Elle] conduira malheureusement beaucoup de piratage, de phishing cibl et de doxxing .
Troy Hunt, crateur du site d’alerte de cyberscurit Have I Been Pwned, a galement analys la brche et a partag ses conclusions sur Twitter : J’ai trouv 211 524 284 adresses e-mail uniques, cela semble tre peu prs ce qu’il a t dcrit . La violation a maintenant t ajoute aux systmes de Have I been Pwned, ce qui signifie que n’importe qui peut visiter le site et entrer son adresse e-mail pour voir si elle a t incluse dans la base de donnes.
Ok folks, I know this Twitter data is in broad circulation now and Ive had many people send it to me in the last 24 hours, Ill take a good look at it today and work out how to handle it https://t.co/02LH4jrEQ1
— Troy Hunt (@troyhunt) January 4, 2023
Une situation qui tombe mal pour Twitter
En mai, Twitter a accept de payer une amende de 150 millions de dollars pour avoir utilis les numros de tlphone des utilisateurs pour cibler les publicits, alors qu’il les a initialement collects dans le cadre d’une authentification deux facteurs.
Twitter doit payer une amende de 150 millions de dollars pour avoir prtendument rompu ses promesses en matire de protection de la vie prive – une nouvelle fois , a crit la FTC dans un billet de blogue mercredi, annonant l’accord conclu avec Twitter et le DOJ. Selon les documents judiciaires, la FTC et le DOJ accusent Twitter d’avoir viol un accord conclu en 2011 avec les rgulateurs, dans lequel la socit s’engageait ne pas utiliser les donnes recueillies des fins de scurit, comme les numros de tlphone et les adresses lectroniques des utilisateurs, pour aider les annonceurs cibler les personnes avec des publicits.
La plainte allgue que Twitter a donn une fausse image de ses politiques aux utilisateurs entre 2013 et 2019. Pendant plus de six ans, le gant amricain des mdias sociaux encourageait les utilisateurs ajouter un numro de tlphone ou une adresse lectronique pour activer des mesures de scurit comme l’authentification deux facteurs (2FA). Mais selon la plainte, en ralit, Twitter a galement intgr ces informations dans ses donnes de ciblage publicitaire. La socit se serait excuse de cette pratique en 2019, affirmant qu’elle avait « par inadvertance » achemin les adresses et les numros dans son systme publicitaire.
En sus, la plainte allgue galement que, pendant cette priode, Twitter prtendait faussement se conformer aux cadres du bouclier de protection de la vie prive Union europenne-tats-Unis et Suisse-tats-Unis, qui limitaient la manire dont les entreprises pouvaient rutiliser les donnes des utilisateurs. Les enquteurs fdraux ont affirm que Twitter n’a tenu aucune de ces promesses. Comme l’indique la plainte, Twitter a obtenu des donnes des utilisateurs sous le prtexte de les exploiter des fins de scurit, mais a fini par les utiliser galement pour cibler les utilisateurs avec des publicits , a dclar Lina Khan, prsidente de la FTC.
Commission irlandaise de protection des donnes
La Commission irlandaise de protection des donnes a annonc une enqute sur un incident d’aot qui a vu les enregistrements de contacts de 5,4 millions d’utilisateurs de Twitter dverss sur le mme forum o Ryushi a voqu les 400 millions d’utilisateurs concerns par la violation de donne.
Twitter, a crit l’autorit irlandaise de protection des donnes, a apparemment viol les dispositions du rglement gnral sur la protection des donnes, le rglement europen sur la confidentialit souvent assorti de lourdes amendes. L’agence irlandaise a invoqu en novembre le RGPD pour infliger une amende de 265 millions d’euros Facebook aprs la publication en ligne d’un ensemble de donnes contenant les dtails de plus d’un demi-milliard d’utilisateurs de mdias sociaux l’anne dernire.
Conclusion
La violation n’est que la dernire dbcle de cyberscurit affecter Twitter, qui a longtemps lutt pour protger les donnes de ses utilisateurs. L’entreprise fait dj l’objet d’une enqute de l’UE pour la violation (sur la base des premiers rapports de juillet 2022) et est interroge par la FTC pour des failles de scurit similaires. En aot dernier, l’ancien responsable de la scurit de Twitter, Peiter « Mudge » Zatko, a lanc une alerte contre l’entreprise, dposant une plainte auprs du gouvernement amricain dans laquelle il affirmait que l’entreprise couvrait des lacunes flagrantes dans ses dfenses en matire de cyberscurit.
Consultez Have I Been Pwned pour savoir si votre adresse mail ou votre numro de tlphone a fuit
Sources : Breached, Alon Gal, Troy Hunt, Privacy Affairs
Et vous ?
Quelle lecture en faites-vous ?
Votre adresse e-mail se retrouve-t-elle dans la base de donnes Have I Been Pwned ?
Quels conseils auriez-vous donner un internaute qui y retrouve son adresse e-mail ou son numro de tlphone ?
Voir aussi :
Elon Musk expose Twitter des milliards d’amendes, prvient un avocat de l’entreprise. Elon met des fuses dans l’espace, il n’a pas peur de la FTC , aurait dclar son avocat personnel
La FTC inflige une amende de 150 millions de dollars Twitter pour avoir utilis des numros de tlphone 2FA des fins de ciblage publicitaire, Twitter est galement soumis d’autres exigences