Pour les utilisateurs de Twitter, le projet Have I Been Pwned permet désormais de vérifier si leurs données font partie d’une fuite concernant plus de 200 millions de comptes. Une base de données contient les adresses email, les noms, les noms d’affichage, le nombre d’abonnés et les dates de création des comptes.
Cette base de données a été repérée sur un forum bien connu des hackers et des cybercriminels, sans besoin de se rendre sur le Dark Web. Elle est proposée moyennant huit crédits, soit de l’ordre de 2 $.
Il s’agirait d’une même base de données de 400 millions d’utilisateurs de Twitter qui circule depuis novembre, mais nettoyée pour éliminer les doublons et sans des numéros de téléphone.
Une ancienne vulnérabilité en cause
Avec un total d’un peu plus de 211 millions d’adresses email uniques, les données auraient été obtenues en 2021 via l’exploitation d’une vulnérabilité de l’API de Twitter. En indiquant une adresse email ou un numéro de téléphone aux systèmes du réseau social de microblogging, une personne pouvait découvrir un compte correspondant et associé.
La vulnérabilité a été corrigée début 2022, à la suite d’un signalement par le biais du programme de bug bounty de Twitter. Reste que des données fuitées – ou récupérées – ont régulièrement fait depuis l’objet d’un commerce ou d’une divulgation. Un premier jeu de données avec 5,4 millions d’utilisateurs avait été mis en vente l’été dernier pour 30 000 $, avant d’être publié gratuitement en novembre.
Bleeping Computer indique qu’un autre ensemble de données de 17 millions d’utilisateurs de Twitter a circulé de manière plus discrète en novembre, avant la mise en vente des prétendument 400 millions de profils Twitter recueillis.
Déjà une enquête de la DPC
Avec un accès aussi important et à très bas prix aux profils Twitter avec adresses email, le risque de phishing ciblé et d’autres tentatives d’arnaques devient élevé. Pour la société Hudson Rock de renseignement sur la cybercriminalité, il s’agit même de l’une des fuites de données les plus importantes de l’histoire.
En évoquant uniquement l’ensemble de données contenant des données personnelles d’environ 5,4 millions d’utilisateurs de Twitter, la Commission irlandaise pour la protection des données (Data Protection Commission) a annoncé le 23 décembre l’ouverture d’une enquête.
L’enquête déterminera si Twitter a enfreint des dispositions Règlement européen sur la protection des données. Un cadeau surprise pour Elon Musk…