Twitter est victime d’une énorme fuite de données privées qui pourrait atteindre 24 millions de comptes d’utilisateurs. Près de 5,5 millions d’informations personnelles ont déjà été publiées lors d’une première collecte en décembre dernier. Lors d’une seconde fuite, qui serait trois fois plus importante, se trouve les numéros de téléphones de près de 1,4 million de Français.
au sommaire
TwitterTwitter fait beaucoup parler de lui en ce moment avec les frasques presque quotidiennes de son nouveau propriétaire, Elon Musk. Mais cette fois, il n'est en rien responsable d'une grosse fuite de données privées qui a touché le réseau social. L'histoire n'est pas liée au licenciement de la moitié des effectifs de Twitter, puisque cela date de décembre 2021.
À cette époque, une vulnérabilité a permis à des pirates de dérober les données personnelles de plus de 5,48 millions de profils d'utilisateurs de Twitter. On trouve les données publiques des comptes, mais aussi celles qui sont privées, comme le numéro de téléphone ou l'adresse e-mail. En plus de ces 5,48 millions de profils, il y en avait également 1,4 million concernant des comptes Twitter suspendus.
Au total, ce sont 7 millions de profils Twitter contenant des informations privées qui ont été récupérés par les pirates. Si la brèche a été colmatée en janvier dernier, les données de ces très exactement 5 485 635 comptes actifs ont bien été partagées sur un forum de pirates à partir de septembre. Mais avant de libérer gratuitement ces informations, un hacker a cherché à les vendre pour 30 000 dollars.
17 millions de comptes dans une autre fuite
Ce n'est pas tout puisque, selon un expert en sécurité du nom de Chad Loder, une autre collecte massive de données aurait eu lieu à la même époque. Même si cette base de données n'a pas été publiée, on parle de 17 millions de comptes ! On ne sait cependant pas si ces données circulent sur les réseaux des hackers. Parmi eux, il y aurait ainsi au moins 1 377 132 numéros de téléphones émanant de comptes français.
Chad Loder, qui a découvert cette base de données récemment, a d'abord annoncé la nouvelle sur Twitter. Est-ce que la nouvelle politique maison, qui consiste à faire tourner le service avec un minimum de personnel, a voulu cacher la poussière sous le tapis ? Toujours est-il que le compte de Chad Loder a été suspendu peu de temps après sa révélation. L'expert a ensuite publié un échantillon expurgé de cette collecte de données sur Mastodon. Sur une capture, on peut effectivement constater que certains profils concernent des utilisateurs français.
Dans les deux cas, les données ont été dérobées grâce à une faille dans une API de Twitter découverte par la plateforme HackerOne. Cette API permet aux utilisateurs de récupérer leur identifiant Twitter oublié, en soumettant leur numéro de téléphone ou leur adresse e-mail. La brèche a donc été colmatée par le personnel de Twitter en janvier dernier.
Depuis, et c'est toujours valable aujourd'hui, il faut se méfier des messages que l'on peut recevoir provenant prétendument de Twitter, que ce soit par SMS ou par e-mail. Il pourrait bien s'agir de tentatives de phishingphishing basées sur les informations de votre compte Twitter afin de collecter vos identifiants.
Des hackers ont volé les données privées de 5,4 millions de comptes Twitter
En utilisant une vulnérabilité, un hacker a dérobé l'identifiant, le numéro de téléphone et l'adresse e-mail utilisés par les comptes de 5,4 millions d'utilisateurs de Twitter. Il a tenté de vendre cette base de données sur un forum de pirates. La faille a été colmatée par le réseau social dès janvier.
Article de Sylvain BigetSylvain Biget publié le 8 aout 2022
Pour 5,4 millions de comptes Twitter, l'adresse e-mail de l'identifiant, ainsi que le numéro de téléphone de son propriétaire se trouvent dans une base de données collectée par des pirates. Les hackers auraient profité d'une faille de sécurité découlant d'une mise à jour du code en juin 2021. Le problème aurait déjà été corrigé en janvier à l'issue d'un bug bounty, mais le piratage date d'avant selon les aveux même de Twitter. Alors que Twitter indiquait à l'origine qu'il n'y avait pas de preuves que cette vulnérabilité ait été exploitée, ce n'est pas l'avis du site Bleeping Computer.
Selon son enquête, au moins un pirate identifié sous le surnom « devil » (diable) aurait amassé ces données émanant de plus de 5,4 millions de comptes (5.485.636 exactement). Il aurait même tenté de vendre ces informations sur un forum de hackers pour 30.000 dollars. Parmi ces données, se trouvent celles liées à des célébrités, des entreprises ou des organisations gouvernementales.
Une faille de sécurité datant de juin 2021
Ce n'est qu'après avoir analysé les données publiées sur le forum que le réseau social a confirmé que ces données d'utilisateurs avaient été compromises. S'il reste difficile de savoir si la fuite n'a impacté réellement que 5,4 millions de comptes, dans tous les cas, Twitter a indiqué qu'il allait informer les utilisateurs concernés.
Pour éviter de se faire dérober ce type de données personnelles, Twitter conseille d'activer l'authentification à deux facteursauthentification à deux facteurs. De même, mieux vaut être vigilant lors de la réceptionréception d'un e-mail semblant provenir de Twitter, surtout s'il vous demande de cliquer sur un lien pour saisir vos identifiants.