🔴 Soldes dernière démarque : jusqu'à - 80% ! 🔴 Soldes dernière démarque : jusqu'à - 80% sur le high-tech

Twitter : les infos volées de 5,4 millions d'utilisateurs diffusées en ligne

30 novembre 2022 à 12h55
17
Application Twitter sur une tablette © Souvik Banerjee/Unsplash
© Souvik Banerjee/Unsplash

La fuite de données contient des informations publiques, comme des identifiants ou des noms de comptes Twitter. Plus inquiétant, elle embarque aussi des numéros de téléphone et des adresses e-mails, censés rester privés.

« Je vous mets à disposition les données de plusieurs utilisateurs de Twitter [...]. 5 485 636, pour être exact. Vous y trouverez les informations de célébrités, d'entreprises, de particuliers… ». Un message glaçant, posté sur un forum de piratage, qui donne une idée de l'ampleur du leak subi par la twittosphère.

Une faille qui remonte à fin 2021

À l'origine de cette fuite massive : l'exploitation d'une vulnérabilité zero-day sur une API de récupération de compte utilisateur. Cette dernière donne lieu à une fonction permettant d'associer un numéro de téléphone ou une adresse e-mail à un compte en particulier. Réservée à une utilisation interne, elle doit faire l'objet de la plus stricte confidentialité. Après avoir identifié la brèche via son programme de bug bounty, Twitter l'a corrigée en janvier dernier. « Nous n'avons pas de trace indiquant qu'elle ait pu être exploitée… », a alors fait savoir l'oiseau bleu, dans les mois suivants.

Trop tard, puisque les informations des utilisateurs ont été collectées en décembre grâce à la méthode du scraping, permettant d'extraire des données en masse. Une fois agrégées, celles-ci ont été rendues accessibles durant l'été, négociées à 30 000 dollars (environ 29 000 euros) auprès de plusieurs pirates, puis mises à disposition gratuitement.

Élargie, la base concerne 1,4 million de Français

Mais ce n'est pas la fin de l'histoire. À cette collection de données personnelles s'ajoute, en effet, un nouvel arrivage venant gonfler la base de données existante.

Et la mauvaise nouvelle, c'est qu'il concerne plus d'un million de comptes français. C'est ce qu'a révélé Chad Loder, un spécialiste en cybersécurité, en publiant un extrait de ses recherches sur le réseau social Mastodon. Parmi les données accessibles : des numéros de portable avec indicatifs en +33, des biographies et des informations sur les comptes vérifiés. En outre, des comptes basés au Royaume-Uni et dans plusieurs régions des États-Unis seraient également concernés.

La collecte de données va encore au-delà. Le site spécialisé Bleeping Computer, qui a pu échanger avec le propriétaire du forum, a indiqué que les données de plus d'un million de profils suspendus ont aussi été récupérées via une autre API. Des informations qui, cette fois-ci, n'auraient « pas été vendues, mais seulement partagées en privé entre quelques personnes », expliquent les pirates, cités par le média.

Entre bases de données non révélées, dispersées ou partagées entre les hackers uniquement, il est encore très difficile d'estimer précisément le nombre de comptes touchés par cette fuite massive. Une chose est sûre, il n'est jamais trop tard pour sécuriser son compte Twitter et réfléchir à deux fois avant d'ouvrir un e-mail ou un SMS provenant de la firme rachetée par Elon Musk.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
17
13
Muggsy68
Twitter.delete;
ptitepuce
sudo rm -rf /#twitter
AllanTK
C’est malsain d’associer Musk à la fin de l’article, pour une fuite qui a eu lieu avant l’achat de twitter, donc qui ne lui est pas imputable…
tfpsly
Vu ses coupures dans les employés et la structure, non pas vraiment.
gemini7
Twitter n’a vraiment pas de bol, d’abord la fuite de données personnelles, puis le rachat par Elon Musk, qui fait n’importe quoi.<br /> Si Twitter sombre, Musk n’en sera pas le seul responsable.
gemini7
" sudo rm -rf /#twitter "<br /> Euh, désolé de dire ça, mais à part, sudo et Twitter, le reste ne me dit rien.<br /> Tu pourrais traduire STP. Est-ce « effacer Twitter » ? Désolé de poser des questions stupides.
ctalpaert42
« Réfléchir à deux fois avant d’ouvrir un e-mail ou un SMS provenant de la firme rachetée par Elon Musk »<br /> Cela signifie que les adresses e-mails volées seront probablement ciblées par une attaque de fishing. Je ne vois rien de malsain à cette mise en garde. Au contraire, c’est plutôt sympa de la part du rédacteur.
AllanTK
Dans la citation, on prend la même phrase, on retire « par Elon Musk »: la mise en garde reste utile, sans faire un sous entendu malsain envers musk :-/.
vonkar
il est pas responsable de ca…
martinfierrro
« Sous entendu malsain » ?? La phrase fait référence à un fait : le rachat de Twitter par Musk et n’associe aucunement Musk à la fuite, comme vous dites…<br /> Je ne lis ni jugement ni sous-entendu ni parti-pris.<br /> Vous pensez peut-être que c’est le rachat qui est malsain ?
pichou
vu le peu de salaries qui reste ce genre de news risque de buzzer de plus en plus souvent
LeChien
@Piche: dire ça c’est affirmer que tous les dev étaient obligatoirement sur des fonctions critiques exploitables de l’extérieur et qui se trouvent aujourd’hui sans mainteneur.<br /> Sauf qu’on en sait rien, sur aucun de ces aspects.<br /> Ce qu’on sait par contre, c’est que ça manquait cruellement (parce que c’est pas la première fuite via faille) d’hygiène dans les pratiques de codage (sécurité avant même la première ligne de code).
Belgarath
Il n’empêche que c’est lui le boss maintenant, il nous le fait assez savoir.<br /> Donc, il n’y a rien de malsain à citer son nom.
ptitepuce
Sous Linux, sudo rm permet d’effacer le contenu d’un dossier.<br /> L’option -rf efface de force et de façon récursive.<br /> Le symbole « / » signifie que l’on est dans la racine (la base du système).<br /> Du coup cette commande supprime toute la base du système, donc crash en prévision, et système non fonctionnel.<br /> J’ai rajouté le #twitter, pour faire une blague linuxienne, quand une distribution linux est nulle, on répond souvent avec cette fameuse commande.<br /> Donc pour twitter qui apporte + de problèmes que de solutions, ça m’a fait penser à cette commande, d’où mon message (inutile certes, mais indispensable quand même)
gemini7
Merci @ptitepuce, tu es très sympathique, encore merci pour ta réponse, je me coucherai moins bête grâce à toi.
sussu40
Pour une fois que Elon n’y est pour rien. Il poura même tout faire pour que l’incident ne se reproduise pas ou alors porter plainte et essayer de récupérer une partie de ses 44 milliards.
Voir tous les messages sur le forum

Derniers actualités

Pourquoi OVH est condamné à verser 100 000 € à un client dont le serveur a brûlé lors de l’incendie de Strasbourg ?
Il est possible de contourner les barrières éthiques de ChatGPT... En menaçant de le tuer
Mais à quoi va servir cette centrale solaire électrique installée... à 530 km d’altitude dans l’espace ?
Twitter : le dieu du réseau a décidé que les bonnes API pouvaient rester gratuitement
À votre portefeuille ! Un prototype de 3DFX Voodoo 5 avec 4 GPU est en vente !
Soldes Amazon et Cdiscount : TOP 10 des vrais bons plans du jour
Galaxy S23, S23+ et S23 Ultra : Samsung lance une offre de précommande exceptionnelle !
Vente Flash : l'offre 100% Canal+ chute à 15,99€/mois !
L’enquête sur la
Soldes Cdiscount : les 5 offres à ne pas manquer avant la fin des Soldes
Haut de page