Piratage Twitter : les données de 235 millions d’utilisateurs en clair

Maurine Briantais
05/01/23 18:38

Les mauvaises nouvelles et scandales continuent pour Twitter ! Comme le rapporte le site Cybernews, des pirates ont mis en vente sur le Dark Web^[5] les informations de 235 millions d’utilisateurs de Twitter, soit près de 63 Go de données, pour la modique somme de 2 $. Elles contiennent les noms, prénoms, pseudos Twitter, numéros de téléphone et adresses mails. Un échantillon de 100 000 identifiants est disponible gratuitement afin de vérifier la véracité de la base de données. Bien que les mots de passe ne soient pas inclus dans les fichiers, cette divulgation risque sérieusement de donner lieu à du phishing^[2], du doxxing (la publication de données personnelles afin de nuire à la personne) ou encore des attaques par force brute dans les prochaines semaines. D’ailleurs, certains utilisateurs ont déjà eu des problèmes, à l’instar du présentateur anglais Piers Morgan – un hacker a piraté son compte pour publier de fausses informations, des injures raciales et autres messages insultants à l’encontre de la Reine et Ed Sheeran, ce qui lui a fait perdre une majorité de son contenu et de ses abonnés – et de l’acteur écossais Graham Mctavish – là encore, des insultes raciales et des remarques désobligeantes sur la reine Elizabeth II ont été postées. Tout porte à croire que les données mises en ligne sont les mêmes que celles qui ont été dérobées mois de décembre 2022, une fois les doublons et autres données redondantes retirés, même si rien n’est encore certain pour le moment.

Piratage de Twitter : Elon Musk est prié de sortir le chéquier

Un hacker répondant au pseudo de Ryushi avait prétendu, fin décembre, s’être emparé des données de 400 millions de comptes – du jamais-vu pour le réseau social^[1], qui a pourtant fait face à un piratage massif en août 2022 –, dont les e-mails et numéros de téléphone de célébrités et de grandes entreprises. Si un doute subsistait sur les propos du vendeur, plusieurs détails sur lesquels s’étaient penchés des experts en cybersécurité laissaient penser que, effectivement, il ne mentirait pas. Sur un forum, le pirate avait interpellé le nouveau PDG de Twitter afin qu’il lui fasse une offre et s’évite des ennuis judiciaires.

Sur le Dark Web, le pirate avait fourni un échantillon de 1 000 comptes afin qu’un potentiel acheteur puisse vérifier l’authenticité des données dérobées, comme le rapportait Security Affairs. Parmi elles se trouvaient celles de la démocrate américaine Alexandria Ocasio-Cortez, du PDG de Google^[3], de l’homme d’affaires Sundar Pichai et de plusieurs personnalités phares du monde des cryptomonnaies, comme Vitalik Buterin, l’un des créateurs de la blockchain Ethereum. On pouvait toutefois noter que, si la base de données était bel et bien réelle, elle devait compter un bon nombre de comptes inactifs, car Twitter ne compte à ce jour pas 400 millions d’utilisateurs actifs mensuels.

Avant de vendre sa base de données au plus offrant, le hacker recommandait à Elon Musk, comme il était le nouveau patron de Twitter, de l’acheter lui-même afin de protéger le réseau social^[1] et d’éviter une importante amende. Aussi, il écrivait dans son post : “Twitter ou Elon Musk si vous lisez ceci, vous risquez actuellement une amende RGPD de plus de 5,4 millions d’infractions, alors imaginez une amende pour une infraction concernant 400 millions d’utilisateurs. Votre meilleure option pour éviter de payer 276 millions de dollars d’amendes pour violation du RGPD comme Facebook^[4] l’a fait (à cause de 533 millions d’utilisateurs concernés) est d’acheter ces données en exclusivité”. En effet, Elon Musk actuellement face à un risque d’amende pour la fuite des données de 5,4 millions de comptes en août 2022 – et dont les conséquences sont plus graves que prévues. La Commission irlandaise de protection des données a d’ailleurs ouvert une enquête sur Twitter à ce sujet, pour violation du Règlement général sur la protection des données (RGPD) en vigueur en Europe depuis 2018. Pour négocier le tarif, il fallait contacter le pirate par message privé ou sur Telegram.

Twitter : les comptes de 400 millions d’utilisateurs piratés

Plusieurs experts en cybersécurité s’étaient penchés sur l’échantillon de données fournies par le pirate afin de vérifier leur authenticité. Ça a notamment le cas de la société de renseignement Hudson Rock. A priori, il n’y avait pas de lien^[6] avec l’attaque en août dernier car l’échantillon ne présentait pas assez de similitudes avec les données des 5,4 millions de comptes. Cette nouvelle fuite paraissait donc parfaitement crédible, même si Alon Gal, le cofondateur et directeur technique de Hudson Rock ne confirmait pas le chiffre des 400 millions de comptes dérobés. C’était aussi ce que pensait DefiYield, une plateforme de la finance décentralisée, qui expliquait avoir “vérifié chacun des 1 000 comptes donnés par le pirate”.

Le hacker expliquait avoir eu accès à ces données après avoir trouvé différentes failles dans le code du réseau social^[1], notamment celle utilisée pour voler les données entre 2021 et 2022. Alon Gal estimait qu’il s’est vraisemblablement appuyé sur une brèche de l’API (Application Programming Interface) de Twitter, via la fonction “Permettre aux personnes qui ont votre numéro de téléphone de vous trouver sur Twitter”. Pour rappel, elle a été corrigée par les ingénieurs de Twitter début 2022, mais plusieurs hackers ont visiblement eu le temps d’en profiter.