Twitter : les infos volées de 5,4 millions d'utilisateurs diffusées en ligne

30 novembre 2022 à 12h55
17
© Souvik Banerjee/Unsplash
© Souvik Banerjee/Unsplash

La fuite de données contient des informations publiques, comme des identifiants ou des noms de comptes Twitter. Plus inquiétant, elle embarque aussi des numéros de téléphone et des adresses e-mails, censés rester privés.

« Je vous mets à disposition les données de plusieurs utilisateurs de Twitter [...]. 5 485 636, pour être exact. Vous y trouverez les informations de célébrités, d'entreprises, de particuliers… ». Un message glaçant, posté sur un forum de piratage, qui donne une idée de l'ampleur du leak subi par la twittosphère.

Une faille qui remonte à fin 2021

À l'origine de cette fuite massive : l'exploitation d'une vulnérabilité zero-day sur une API de récupération de compte utilisateur. Cette dernière donne lieu à une fonction permettant d'associer un numéro de téléphone ou une adresse e-mail à un compte en particulier. Réservée à une utilisation interne, elle doit faire l'objet de la plus stricte confidentialité. Après avoir identifié la brèche via son programme de bug bounty, Twitter l'a corrigée en janvier dernier. « Nous n'avons pas de trace indiquant qu'elle ait pu être exploitée… », a alors fait savoir l'oiseau bleu, dans les mois suivants.

Trop tard, puisque les informations des utilisateurs ont été collectées en décembre grâce à la méthode du scraping, permettant d'extraire des données en masse. Une fois agrégées, celles-ci ont été rendues accessibles durant l'été, négociées à 30 000 dollars (environ 29 000 euros) auprès de plusieurs pirates, puis mises à disposition gratuitement.

Élargie, la base concerne 1,4 million de Français

Mais ce n'est pas la fin de l'histoire. À cette collection de données personnelles s'ajoute, en effet, un nouvel arrivage venant gonfler la base de données existante.

Et la mauvaise nouvelle, c'est qu'il concerne plus d'un million de comptes français. C'est ce qu'a révélé Chad Loder, un spécialiste en cybersécurité, en publiant un extrait de ses recherches sur le réseau social Mastodon. Parmi les données accessibles : des numéros de portable avec indicatifs en +33, des biographies et des informations sur les comptes vérifiés. En outre, des comptes basés au Royaume-Uni et dans plusieurs régions des États-Unis seraient également concernés.

La collecte de données va encore au-delà. Le site spécialisé Bleeping Computer, qui a pu échanger avec le propriétaire du forum, a indiqué que les données de plus d'un million de profils suspendus ont aussi été récupérées via une autre API. Des informations qui, cette fois-ci, n'auraient « pas été vendues, mais seulement partagées en privé entre quelques personnes », expliquent les pirates, cités par le média.

Entre bases de données non révélées, dispersées ou partagées entre les hackers uniquement, il est encore très difficile d'estimer précisément le nombre de comptes touchés par cette fuite massive. Une chose est sûre, il n'est jamais trop tard pour sécuriser son compte Twitter et réfléchir à deux fois avant d'ouvrir un e-mail ou un SMS provenant de la firme rachetée par Elon Musk.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Haut de page

Sur le même sujet

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (17)

Muggsy68
Twitter.delete;
ptitepuce
sudo rm -rf /#twitter
tfpsly
Vu ses coupures dans les employés et la structure, non pas vraiment.
gemini7
Twitter n’a vraiment pas de bol, d’abord la fuite de données personnelles, puis le rachat par Elon Musk, qui fait n’importe quoi.<br /> Si Twitter sombre, Musk n’en sera pas le seul responsable.
gemini7
" sudo rm -rf /#twitter "<br /> Euh, désolé de dire ça, mais à part, sudo et Twitter, le reste ne me dit rien.<br /> Tu pourrais traduire STP. Est-ce « effacer Twitter » ? Désolé de poser des questions stupides.
ctalpaert42
« Réfléchir à deux fois avant d’ouvrir un e-mail ou un SMS provenant de la firme rachetée par Elon Musk »<br /> Cela signifie que les adresses e-mails volées seront probablement ciblées par une attaque de fishing. Je ne vois rien de malsain à cette mise en garde. Au contraire, c’est plutôt sympa de la part du rédacteur.
vonkar
il est pas responsable de ca…
martinfierrro
« Sous entendu malsain » ?? La phrase fait référence à un fait : le rachat de Twitter par Musk et n’associe aucunement Musk à la fuite, comme vous dites…<br /> Je ne lis ni jugement ni sous-entendu ni parti-pris.<br /> Vous pensez peut-être que c’est le rachat qui est malsain ?
LeChien
@Piche: dire ça c’est affirmer que tous les dev étaient obligatoirement sur des fonctions critiques exploitables de l’extérieur et qui se trouvent aujourd’hui sans mainteneur.<br /> Sauf qu’on en sait rien, sur aucun de ces aspects.<br /> Ce qu’on sait par contre, c’est que ça manquait cruellement (parce que c’est pas la première fuite via faille) d’hygiène dans les pratiques de codage (sécurité avant même la première ligne de code).
Belgarath
Il n’empêche que c’est lui le boss maintenant, il nous le fait assez savoir.<br /> Donc, il n’y a rien de malsain à citer son nom.
ptitepuce
Sous Linux, sudo rm permet d’effacer le contenu d’un dossier.<br /> L’option -rf efface de force et de façon récursive.<br /> Le symbole « / » signifie que l’on est dans la racine (la base du système).<br /> Du coup cette commande supprime toute la base du système, donc crash en prévision, et système non fonctionnel.<br /> J’ai rajouté le #twitter, pour faire une blague linuxienne, quand une distribution linux est nulle, on répond souvent avec cette fameuse commande.<br /> Donc pour twitter qui apporte + de problèmes que de solutions, ça m’a fait penser à cette commande, d’où mon message (inutile certes, mais indispensable quand même)
gemini7
Merci @ptitepuce, tu es très sympathique, encore merci pour ta réponse, je me coucherai moins bête grâce à toi.
sussu40
Pour une fois que Elon n’y est pour rien. Il poura même tout faire pour que l’incident ne se reproduise pas ou alors porter plainte et essayer de récupérer une partie de ses 44 milliards.
Voir tous les messages sur le forum