Les noms d'utilisateur et les adresses e-mail de plus de 200 millions d'utilisateurs de Twitter ont été mis en ligne par des pirates. Selon des rapports de chercheurs en sécurité et de médias, les informations d'identification ont été compilées à partir d'un certain nombre de violations antérieures de Twitter remontant à 2021; des pirates ont alors découvert une vulnérabilité dans les systèmes de sécurité de Twitter. La faille a permis aux acteurs malveillants d'automatiser les recherches de comptes (saisir des adresses e-mail et des numéros de téléphone en masse pour voir s'ils étaient associés à des comptes Twitter).

Bien que la base de données n'inclue pas les mots de passe des utilisateurs, elle représente néanmoins une menace pour la sécurité des personnes concernées.

Une fuite de données décrite comme contenant les adresses e-mail de plus de 200 millions d'utilisateurs de Twitter a été publiée sur un forum de hackers populaire pour environ 2 dollars. Plusieurs médias ont confirmé la validité de la plupart des adresses e-mail répertoriées dans la fuite.

Depuis le 22 juillet 2022, les acteurs malveillants et les collecteurs de violations de données vendent et diffusent de grands ensembles de données de profils d'utilisateurs Twitter récupérés contenant à la fois des données privées (numéros de téléphone et adresses e-mail) et publiques sur divers forums de pirates en ligne et marchés de la cybercriminalité.

Ces ensembles de données ont été créés en 2021 en exploitant une vulnérabilité de l'API Twitter qui permettait aux utilisateurs de saisir des adresses e-mail et des numéros de téléphone pour confirmer s'ils étaient associés à un identifiant Twitter. Les acteurs malveillants ont ensuite utilisé une autre API pour récupérer les données publiques de Twitter pour l'ID et ont combiné ces données publiques avec des adresses e-mail/numéros de téléphone privés pour créer des profils d'utilisateurs de Twitter.

Twitter a révélé cette vulnérabilité en août 2022, affirmant avoir résolu le problème en janvier de la même année suite à un signalement dans le cadre de son programme de rémunérations pour la découverte de bogues. La société a affirmé à l'époque qu'elle « n'avait aucune preuve suggérant que quelqu'un avait profité de la vulnérabilité », mais les experts en cybersécurité avaient déjà repéré des bases de données d'informations d'identification Twitter à vendre en juillet de cette année. Cette base de données la plus récente de plus de 200 millions de comptes semble avoir ses origines dans cette vulnérabilité vieille de plusieurs années, qui est passée inaperçue sur Twitter pendant environ sept mois.

Le premier ensemble de données de 5,4 millions d'utilisateurs a été mis en vente en juillet pour 30 000 $ et finalement publié gratuitement le 27 novembre 2022. Un autre ensemble de données contenant prétendument les données de 17 millions d'utilisateurs circulait également en privé en novembre.

Plus récemment, un pirate a commencé à vendre un ensemble de données qui, selon lui, contenait 400 millions de profils Twitter collectés à l'aide de cette vulnérabilité.

Cette fois-ci, un acteur malveillant a publié un ensemble de données composé de 200 millions de profils Twitter sur le forum de piratage Breached pour huit crédits de la devise du forum, d'une valeur d'environ 2 dollars. Cet ensemble de données serait le même que l'ensemble de 400 millions circulant en novembre, mais nettoyé pour ne pas contenir de doublons, réduisant le total à environ 221 608 279 lignes, selon le PDG et fondateur de Privacy Affairs, Miklos Zoltan. « Cependant, cette fois, les données peuvent être téléchargées gratuitement par tous, au lieu d'être mises en vente à 200 000 dollars, comme c'était le cas en décembre », a-t-il écrit.

Le cybercriminel semble confirmer cela :

Les données ont été publiées sous forme d'archive RAR composée de six fichiers texte pour une taille combinée de 59 Go de données.

Chaque ligne des fichiers représente un utilisateur de Twitter et ses données, qui incluent les adresses e-mail, les noms, les noms d'écran, le nombre de suivis et les dates de création de comptes. Contrairement aux données précédemment divulguées collectées à l'aide de cette faille de l'API Twitter, la fuite n'indique pas si un compte est vérifié.

Bien que les médias aient été en mesure de confirmer que les adresses e-mail sont correctes pour de nombreux profils Twitter répertoriés, l'ensemble de données complet n'a évidemment pas été confirmé. De plus, l'ensemble de données est loin d'être complet, car de nombreux utilisateurs n'ont pas été trouvés dans la fuite. La présence ou non de vos informations dans cet ensemble de données dépend fortement du fait que votre adresse e-mail ait été exposée lors de précédentes violations de données.

Certaines des personnes et organisations bien connues incluses dans la nouvelle fuite de base de données de 63 Go incluent Donald Trump Jr., le PDG de Google Sundar Pichai, SpaceX, la National Basketball Association des États-Unis, CBS Media et l'Organisation mondiale de la santé, selon le blog de Zoltan sur la violation.

La réaction des experts en cybersécurité

« C'est l'une des fuites les plus importantes que j'ai vues », a déclaré Alon Gal, co-fondateur de la société israélienne de cybersécurité Hudson Rock, dans un article décrivant le piratage sur LinkedIn. « [Elle] conduira malheureusement à beaucoup de piratage, de phishing ciblé et de doxxing ».

Troy Hunt, créateur du site d'alerte de cybersécurité Have I Been Pwned, a également analysé la brèche et a partagé ses conclusions sur Twitter : « J'ai trouvé 211 524 284 adresses e-mail uniques, cela semble être à peu près ce qu'il a été décrit ». La violation a maintenant été ajoutée aux systèmes de Have I been Pwned, ce qui signifie que n'importe qui peut visiter le site et entrer son adresse e-mail pour voir si elle a été incluse dans la base de données.

Ok folks, I know this Twitter data is in broad circulation now and I’ve had many people send it to me in the last 24 hours, I’ll take a good look at it today and work out how to handle it https://t.co/02LH4jrEQ1

— Troy Hunt (@troyhunt) January 4, 2023

Une situation qui tombe mal pour Twitter

En mai, Twitter a accepté de payer une amende de 150 millions de dollars pour avoir utilisé les numéros de téléphone des utilisateurs pour cibler les publicités, alors qu'il les a initialement collectés dans le cadre d'une authentification à deux facteurs.

« Twitter doit payer une amende de 150 millions de dollars pour avoir prétendument rompu ses promesses en matière de protection de la vie privée - une nouvelle fois », a écrit la FTC dans un billet de blogue mercredi, annonçant l'accord conclu avec Twitter et le DOJ. Selon les documents judiciaires, la FTC et le DOJ accusent Twitter d'avoir violé un accord conclu en 2011 avec les régulateurs, dans lequel la société s'engageait à ne pas utiliser les données recueillies à des fins de sécurité, comme les numéros de téléphone et les adresses électroniques des utilisateurs, pour aider les annonceurs à cibler les personnes avec des publicités.

La plainte allègue que Twitter a donné une fausse image de ses politiques aux utilisateurs entre 2013 et 2019. Pendant plus de six ans, le géant américain des médias sociaux encourageait les utilisateurs à ajouter un numéro de téléphone ou une adresse électronique pour activer des mesures de sécurité comme l'authentification à deux facteurs (2FA). Mais selon la plainte, en réalité, Twitter a également intégré ces informations dans ses données de ciblage publicitaire. La société se serait excusée de cette pratique en 2019, affirmant qu'elle avait "par inadvertance" acheminé les adresses et les numéros dans son système publicitaire.

En sus, la plainte allègue également que, pendant cette période, Twitter prétendait faussement se conformer aux cadres du bouclier de protection de la vie privée Union européenne-États-Unis et Suisse-États-Unis, qui limitaient la manière dont les entreprises pouvaient réutiliser les données des utilisateurs. Les enquêteurs fédéraux ont affirmé que Twitter n'a tenu aucune de ces promesses. « Comme l'indique la plainte, Twitter a obtenu des données des utilisateurs sous le prétexte de les exploiter à des fins de sécurité, mais a fini par les utiliser également pour cibler les utilisateurs avec des publicités », a déclaré Lina Khan, présidente de la FTC.

Commission irlandaise de protection des données

La Commission irlandaise de protection des données a annoncé une enquête sur un incident d'août qui a vu les enregistrements de contacts de 5,4 millions d'utilisateurs de Twitter déversés sur le même forum où Ryushi a évoqué les 400 millions d'utilisateurs concernés par la violation de donnée.

Twitter, a écrit l'autorité irlandaise de protection des données, a apparemment violé les dispositions du règlement général sur la protection des données, le règlement européen sur la confidentialité souvent assorti de lourdes amendes. L'agence irlandaise a invoqué en novembre le RGPD pour infliger une amende de 265 millions d'euros à Facebook après la publication en ligne d'un ensemble de données contenant les détails de plus d'un demi-milliard d'utilisateurs de médias sociaux l'année dernière.

Conclusion

La violation n'est que la dernière débâcle de cybersécurité à affecter Twitter, qui a longtemps lutté pour protéger les données de ses utilisateurs. L'entreprise fait déjà l'objet d'une enquête de l'UE pour la violation (sur la base des premiers rapports de juillet 2022) et est interrogée par la FTC pour des failles de sécurité similaires. En août dernier, l'ancien responsable de la sécurité de Twitter, Peiter "Mudge" Zatko, a lancé une alerte contre l'entreprise, déposant une plainte auprès du gouvernement américain dans laquelle il affirmait que l'entreprise couvrait des « lacunes flagrantes » dans ses défenses en matière de cybersécurité.