Depuis plusieurs semaines, des rapports signalent une grosse fuite de données pour Twitter avec des centaines de millions de comptes touchés. Elle est même considérée comme l’une des fuites de données parmi les plus importantes à ce jour.
Le projet Have I Been Pwned évoque plus de 200 millions d’enregistrements récupérés de Twitter et apparus sur un forum de hacking, avec des adresses email, des noms, des noms d’affichage, le nombre d’abonnés et les dates de création des comptes.
Une base de données avec plus de 400 millions d’emails et numéros de téléphone associés à des utilisateurs de Twitter avait par ailleurs fait l’objet d’un commerce sur le marché noir. Le réseau social de microblogging fait désormais part de son analyse.
Pas d’exploitation d’une vulnérabilité
» Sur la base des informations et des renseignements analysés pour enquêter sur le problème, rien ne prouve que les données vendues en ligne ont été obtenues en exploitant une vulnérabilité des systèmes de Twitter « , peut-on lire dans un billet de blog.
Selon Twitter, les données sont probablement une collection de données déjà disponibles publiquement en ligne par le biais de différentes sources. Twitter précise en outre avoir pris contact avec les autorités en charge de la protection des données personnelles.
Rien de nouveau pour Twitter
Rappelons que Twitter avait confirmé une fuite de données touchant 5,4 millions d’utilisateurs, à la suite de l’exploitation d’une vulnérabilité au niveau de son API. Cette faille avait été comblée en janvier 2022. La Commission irlandaise pour la protection des données a ouvert une enquête à ce sujet.
La vulnérabilité avait été signalée via le programme de Bug Bounty de Twitter. Elle était en lien avec une mise à jour du code de Twitter en juin 2021. En indiquant une adresse email ou un numéro de téléphone aux systèmes de Twitter, il était possible de découvrir un compte correspondant et associé, le cas échéant.
Pour les 400 millions ou 200 millions de données d’utilisateurs, Twitter écrit qu’il n’y a pas de corrélation avec l’incident de sécurité précédemment signalé ou un nouvel incident.