Discussion :

[Stéphane le calme]

Les données de plus 400 Mns d'utilisateurs de Twitter ont été mises en vente sur le dark web
obtenues à partir d'une vulnérabilité d'API, les numéros de téléphone de personnalités ont fuité

Dans ce qui peut être présenté comme l'une des plus grandes violations de données sur Twitter, les données de 400 millions d'utilisateurs de Twitter ont été mises en vente sur le dark web. La révélation intervient un jour après que la Commission irlandaise de protection des données (DPC) a annoncé une enquête sur une fuite de données Twitter antérieure qui avait touché plus de 5,4 millions d'utilisateurs. La première brèche a été découverte fin novembre.

Selon Alon Gal, cofondateur et CTO de la société israélienne de renseignement sur la cybercriminalité, Hudson Rock, les données ont probablement été obtenues à partir d'une vulnérabilité d'API permettant au cybercriminel d'interroger n'importe quel e-mail ou téléphone et de récupérer un profil Twitter.

La base de données contient énormément d'informations, parmi lesquelles des e-mails et des numéros de téléphone d'utilisateurs de haut niveau, a noté Gal sur son post LinkedIn.

Un membre d'un forum sur les violations de données criminelles affirme avoir obtenu les e-mails et les numéros de téléphone de 400 millions d'utilisateurs de Twitter dans une publication qui exhorte le PDG des médias sociaux, Elon Musk, à acheter l'ensemble de données à un prix non spécifié :

Je vends des données de plus de 400 millions d'utilisateurs Twitter uniques qui ont été extraites à cause d'une vulnérabilité, ces données sont complètement privées et comprennent des e-mails et des numéros de téléphone de célébrités, de politiciens, d'entreprises, d'utilisateurs normaux et de nombreux noms d'utilisateur OG et spéciaux.

Vous pouvez lire le cas d'utilisation complet des données ici.

Twitter ou Elon Musk si vous lisez ceci, vous risquez déjà une amende RGPD de plus de 5,4 millions suite à une violation de données. Imaginez l'amende que vous risquez pour 400 millions d'utilisateurs [touchés]. Votre meilleure option pour éviter de payer 276 millions de dollars d'amendes pour violation du RGPD comme Facebook l'a fait (en raison de 533 millions concernés) est d'acheter ces données exclusivement,

Ce qui peut passer par l'intermédiaire officiel du propriétaire ici @pompompurin ou admin @Baphomet après cela, je supprimerai ce fil et ne revendrai plus ces données.

Et les données ne seront vendues à personne d'autre, ce qui empêchera de nombreuses célébrités et politiciens de faire face à du phishing, des escroqueries crypto, du SIM swapping, du Doxxing et d'autres choses qui feront que vos utilisateurs perdent confiance en vous en tant qu'entreprise et retardent ainsi la croissance actuelle tout en contribuant au battage médiatique que vous rencontrez également.

Imaginez simplement que des créateurs de contenu et des influenceurs célèbres se font pirater sur Twitter. Cela les fera à coup sûr ghoster [ndlr. acte qui consiste à mettre fin à une relation en interrompant sans avertissement ni explication toute communication et en ignorant les tentatives de reprise de contact] la plate-forme et ruinera votre rêve de plate-forme de partage de vidéos Twitter pour créateurs de contenu. Les choses seront pire puisque vous avez commis l'erreur de modifier la politique de Twitter, ce qui a suscité un immense contrecoup.

De la part des créateurs de contenu, c'est une période sensible, ce qui aggravera les choses et si vous n'êtes pas sûr, lancez un sondage sur Twitter comme d'habitude et les gens choisiront leur sort, car, à la fin, c'est la faute de l'entreprise si ces données ont été piratées.

Voici quelques exemples de célébrités :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
email,name,username,follower_count,creation_date,phone_number
alex.ocasio@gmail.com,Alexandria Ocasio-Cortez,AOC,12772117,Wed Apr 28 22:38:40 +0000 2010
media@spacex.com,SpaceX,SpaceX,18464597,Thu Apr 23 21:53:30 +0000 2009
cracker@gmail.com,briankrebs,briankrebs,336208,Wed Mar 04 15:57:39 +0000 2009
apmcarrasco@gmail.com,Alex Morgan,alexmorgan13,3871373,Fri Apr 03 22:04:38 +0000 2009,+13106131203
dana.howbert@cbsinteractive.com,CBS,CBS,1180218,Fri Dec 18 20:16:17 +0000 2009
amalina1021@gmail.com,Sexy Feline Machine,DojaCat,3921592,Tue May 01 21:14:18 +0000 2012
djtjr@hotmail.com,Donald Trump Jr.,DonaldJTrumpJr,7197983,Mon May 11 21:18:33 +0000 2009
cputh1991@yahoo.com,Charlie Puth,charlieputh,3233448,Fri Aug 22 14:31:05 +0000 2008
Markiplier@Gmail.com,Mark,markiplier,13388019,Wed Mar 07 01:18:38 +0000 2012
kevin@kevinoleary.com,Kevin O'Leary aka Mr. Wonderful,kevinolearytv,832069,Thu Apr 16 17:22:43 +0000 2009,+16179010401
genex@orangephotography.com,gene x,x,26416,Thu Mar 29 20:37:52 +0000 2007
georgedavidson123@gmail.com,George,GeorgeNotFound,3225228,Thu Dec 25 18:29:50 +0000 2014
newmedia@ios.doi.gov,US Department of the Interior,Interior,4963916,Tue Sep 22 14:36:29 +0000 2009
minofib@gmail.com,MIB India 🇮🇳 #AmritMahotsav,MIB_India,1345332,Fri Nov 02 06:26:58 +0000 2012
socialmedia@who.int,World Health Organization (WHO),WHO,10040866,Wed Apr 23 19:56:27 +0000 2008
mark.cuban@dallasmavs.com,Mark Cuban,mcuban,8550044,Wed Sep 10 21:12:01 +0000 2008
steve@woz.org,Steve Wozniak,stevewoz,633098,Thu Mar 05 16:24:20 +0000 2009,+14088888889
newmedia@chinadailyusa.com,China Daily,ChinaDaily,4266409,Thu Nov 05 20:30:10 +0000 2009
tysonwebquery@gmail.com,Neil deGrasse Tyson,neiltyson,14551758,Thu Jan 29 18:40:26 +0000 2009
caradelevingne@gmail.com,Cara Delevingne,Caradelevingne,9462619,Wed Jun 22 12:42:03 +0000 2011
content@gerardpique.com,Gerard Piqué,3gerardpique,20165378,Wed Dec 08 13:20:43 +0000 2010
admin.dicom@justice.gouv.fr,Ministère de la Justice,justice_gouv,196384,Thu Aug 22 08:34:59 +0000 2013
sundar@gmail.com,Sundar Pichai,sundarpichai,4028991,Wed Mar 12 05:51:53 +0000 2008
chamath@gmail.com,Chamath Palihapitiya,chamath,1540845,Tue Apr 03 06:02:29 +0000 2007,+16505045412
linus@linusmediagroup.com,Linus Tech Tips,LinusTech,1501341,Wed Nov 02 19:04:43 +0000 2011
scott.morrison.mp@aph.gov.au,Scott Morrison,ScottMorrisonMP,599924,Wed Apr 22 00:51:17 +0000 2009
v@buterin.com,vitalik.eth,VitalikButerin,2954624,Sun May 08 16:03:03 +0000 2011
piers.morgan1@btinternet.com,Piers Morgan,piersmorgan,8000666,Tue Nov 16 09:37:44 +0000 2010
maggie.masetti@nasa.gov,NASA Webb Telescope,NASAWebb,582110,Tue Apr 07 15:40:56 +0000 2009
aafotouh1@gmail.com,عبدالمنعم أبو الفتوح,DrAbolfotoh,3222390,Sat Apr 09 08:00:55 +0000 2011
whitney5@mac.com,Whitney Cummings,WhitneyCummings,1444339,Wed Apr 01 06:11:05 +0000 2009,+13236464512
alkhodairy63@hotmail.com,أ.د.فهد الخضيري,DrAlkhodairy,1019212,Thu Aug 11 00:10:12 +0000 2011
arbaazkhanproduction@gmail.com,Salman Khan,BeingSalmanKhan,43109089,Tue Apr 13 02:56:21 +0000 2010
jpoorten@nba.com,NBA,NBA,34746692,Mon Feb 02 19:04:42 +0000 2009
mendeswork1@gmail.com,Shawn Mendes,ShawnMendes,26646031,Sat Sep 24 22:29:41 +0000 2011
wardell.curry30@gmail.com,Stephen Curry,StephenCurry30,15586059,Tue May 26 04:15:37 +0000 2009
ginger.zee@gmail.com,Ginger Zee,Ginger_Zee,2288381,Thu Oct 22 00:02:08 +0000 2009,+13122138966

La publication, apparemment remarquée pour la première fois par la société israélienne de cyberrenseignement Hudson Rock, comprend des adresses e-mail privées présumées de trois douzaines de personnalités bien connues, dont la représentante démocrate de New York Alexandria Ocasio Cortez, le fondateur de la cryptomonnaie Ethereum Vitalik Buterin et le journaliste sur la cybersécurité Brian Krebs.

La publication comprend également un lien vers une feuille de calcul contenant un millier d'enregistrements, dont une poignée appartient à des institutions publiques et dont les adresses e-mail répertoriées semblent légitimes.

La personne derrière cette publication, qui utilise un avatar masculin et répond au pseudonyme "Ryushi", indique que les enregistrements ont été exposés au scrapping « via une vulnérabilité ». Si ces données s'avéraient légitimes, la violation de données serait un coup supplémentaire pour Twitter et son directeur général assiégé, qui a déclaré après un sondage qu'il allait laisser sa casquette de PDG du réseau de médias sociaux pour se concentrer sur l'aspect ingénierie et serveurs une fois qu'il aura trouvé quelqu'un « d'assez fou » pour reprendre les rênes.

Des chances que les données sont authentiques

« Le cybercriminel a fourni un échantillon valide de 1 000 comptes notables et a inclus les informations privées d'AOC, Brian Krebs, Vitalik Buterin, Kevin O'Leary, Donald Trump Jr., et bien d'autres », a écrit Gal dans son article LinkedIn sur la violation. Gal a déclaré qu'il avait découvert le message lors de sa recherche de renseignements sur le darkweb.

David H. de CZECHMATE CZ, un service de cyberrenseignement basé en République tchèque, a confirmé sur LinkedIn avoir vérifié que les données sont bien mises en vente. Il est entré en contact avec de nombreux noms connus, dont le journaliste en cybersécurité Brian Krebs : « J'ai parlé spécifiquement à Brian Krebs, et il en est conscient », a renchéri Gal.

L'individu qui a publié la note de fuite a affirmé avoir obtenu les données au début de 2022 via un exploit sur Twitter. Il s'est adressé à Elon Musk, lui demandant d'acheter les données pour éviter les poursuites RGPD.

Une situation qui tombe mal pour Twitter

En mai, Twitter a accepté de payer une amende de 150 millions de dollars pour avoir utilisé les numéros de téléphone des utilisateurs pour cibler les publicités, alors qu'il les a initialement collectés dans le cadre d'une authentification à deux facteurs.

« Twitter doit payer une amende de 150 millions de dollars pour avoir prétendument rompu ses promesses en matière de protection de la vie privée - une nouvelle fois », a écrit la FTC dans un billet de blogue mercredi, annonçant l'accord conclu avec Twitter et le DOJ. Selon les documents judiciaires, la FTC et le DOJ accusent Twitter d'avoir violé un accord conclu en 2011 avec les régulateurs, dans lequel la société s'engageait à ne pas utiliser les données recueillies à des fins de sécurité, comme les numéros de téléphone et les adresses électroniques des utilisateurs, pour aider les annonceurs à cibler les personnes avec des publicités.

La plainte allègue que Twitter a donné une fausse image de ses politiques aux utilisateurs entre 2013 et 2019. Pendant plus de six ans, le géant américain des médias sociaux encourageait les utilisateurs à ajouter un numéro de téléphone ou une adresse électronique pour activer des mesures de sécurité comme l'authentification à deux facteurs (2FA). Mais selon la plainte, en réalité, Twitter a également intégré ces informations dans ses données de ciblage publicitaire. La société se serait excusée de cette pratique en 2019, affirmant qu'elle avait "par inadvertance" acheminé les adresses et les numéros dans son système publicitaire.

En sus, la plainte allègue également que, pendant cette période, Twitter prétendait faussement se conformer aux cadres du bouclier de protection de la vie privée Union européenne-États-Unis et Suisse-États-Unis, qui limitaient la manière dont les entreprises pouvaient réutiliser les données des utilisateurs. Les enquêteurs fédéraux ont affirmé que Twitter n'a tenu aucune de ces promesses. « Comme l'indique la plainte, Twitter a obtenu des données des utilisateurs sous le prétexte de les exploiter à des fins de sécurité, mais a fini par les utiliser également pour cibler les utilisateurs avec des publicités », a déclaré Lina Khan, présidente de la FTC.

Commission irlandaise de protection des données

La Commission irlandaise de protection des données a annoncé vendredi une enquête sur un incident d'août qui a vu les enregistrements de contacts de 5,4 millions d'utilisateurs de Twitter déversés sur le même forum où Ryushi a évoqué les 400 millions d'utilisateurs concernés par la violation de donnée.

Twitter, a écrit l'autorité irlandaise de protection des données, a apparemment violé les dispositions du règlement général sur la protection des données, le règlement européen sur la confidentialité souvent assorti de lourdes amendes. L'agence irlandaise a invoqué en novembre le RGPD pour infliger une amende de 265 millions d'euros à Facebook après la publication en ligne d'un ensemble de données contenant les détails de plus d'un demi-milliard d'utilisateurs de médias sociaux l'année dernière.

« Tout autre gouvernement peut simplement acheter ces données et espionner ses citoyens »

Avant la violation de données sur Twitter, Gal a été celui qui a découvert la violation de Meta en 2021 : « Ceci est extrêmement similaire à la base de données Facebook de 533 millions d'utilisateurs dont j'ai initialement fait état en 2021 et a entraîné une amende de 275 000 000 $ à Meta », a écrit Gal dans sa publication LinkedIn sur la violation.

Plus de 533 millions d'utilisateurs de Facebook de 106 pays ont vu leurs informations personnelles exposées lors de cet incident, dont 32 millions aux États-Unis et 11 millions au Royaume-Uni. Les données comprenaient des numéros de téléphone, des identifiants Facebook, des noms complets, des lieux, des dates de naissance, des biographies et des adresses e-mail pour certaines personnes.

Les pirates sont très friands de ce type d'informations, qu'ils pourraient utiliser pour une multitude d'activités malveillantes. Le pirate lui-même a partagé une note sur la façon dont les données pourraient être utilisées pour gagner de l'argent : « Tout autre gouvernement peut simplement acheter ces données et espionner ses citoyens, par exemple suivre leur emplacement en leur envoyant un e-mail. L'e-mail doit contenir (sic) une image GIF qui, lorsque la victime l'ouvre, peut saisir son adresse IP et ainsi le suivre », indique-t-il.

Violation de données Twitter, dommages et pénalité RGPD

Une brèche de cette ampleur pourrait exploser sur le visage d'Elon Musk, qui reçoit des critiques mondiales sur la façon dont il a transformé le fonctionnement et la politique du site de microblogging. De plus, la DPC (Commission irlandaise de protection des données) a déjà ouvert son enquête sur la violation précédente.

« La DPC a eu une correspondance avec Twitter International Unlimited Company ("TIC") concernant une violation de données personnelles notifiée que TIC prétend être la vulnérabilité source utilisée pour générer les ensembles de données et a soulevé des requêtes concernant la conformité au RGPD », a déclaré le gendarme de la confidentialité dans un communiqué vendredi.

En juillet 2022, un message sur un forum de hackers proposait de vendre les informations personnelles de plus de 5,4 millions d'utilisateurs de Twitter pour 30 000 dollars. Les données comprenaient des informations accessibles au public telles que les identifiants Twitter, les noms, les noms de connexion, les emplacements et le statut vérifié, ainsi que des informations privées telles que les adresses e-mail et les numéros de téléphone.

Le piratage s'est produit en décembre 2021 lorsqu'une vulnérabilité dans l'API Twitter a été exposée via le programme HackerOne Bug Bounty. Cette vulnérabilité permettait à quiconque de saisir un numéro de téléphone ou une adresse e-mail dans l'API et de le lier à un identifiant Twitter.

La pénalité RGPD n'est pas nouvelle pour Twitter. Il y a deux ans, la DPC a infligé une amende de 450 000 € à Twitter en raison du fait que l'entreprise n'a pas informé rapidement la DPC d'une violation dans les 72 heures prescrites par le RGPD et pour une documentation défectueuse de l'incident.

Sources : Ryushi, Hudson Rock

Et vous ?

Quelle lecture faites-vous de la situation ?
Disposez-vous d'un compte Twitter ?
Si oui, y avez-vous renseigné des informations comme votre numéro de téléphone ?
Quelles répercussions potentielles de cette violation de données entrevoyez-vous (pour les utilisateurs lambda, les personnalités, pour le site lui-même, pour Elon Musk) ?

Voir aussi :

Elon Musk expose Twitter à des milliards d'amendes, prévient un avocat de l'entreprise. « Elon met des fusées dans l'espace, il n'a pas peur de la FTC », aurait déclaré son avocat personnel
La FTC inflige une amende de 150 millions de dollars à Twitter pour avoir utilisé des numéros de téléphone 2FA à des fins de ciblage publicitaire, Twitter est également soumis à d'autres exigences

[Invité]

Bonsoir

Les données de plus 400 Mns d'utilisateurs de Twitter ont été mises en vente sur le dark web obtenues à partir d'une vulnérabilité d'API, les numéros de téléphone de personnalités ont fuité

Quelle lecture faites-vous de la situation ?

Après Facebook et ces 550 millions de numéros de gsm c'est au tour de Twitter. Et Après Twitter, à qui le tour ?

Disposez-vous d'un compte Twitter ?

Oui

Si oui, y avez-vous renseigné des informations comme votre numéro de téléphone ?

Non pas du tout.

Quelles répercussions potentielles de cette violation de données entrevoyez-vous (pour les utilisateurs lambda, les personnalités, pour le site lui-même, pour Elon Musk) ?

Du spam par sms, du phishing , du ping call et j'en passe

[Stéphane le calme]

Plus de 200 millions d'adresses e-mail d'utilisateurs de Twitter divulguées par des pirates,
les professionnels de la cybersécurité craignent le déferlement d'escroqueries, de doxxing et d'attaques de phishing

Les noms d'utilisateur et les adresses e-mail de plus de 200 millions d'utilisateurs de Twitter ont été mis en ligne par des pirates. Selon des rapports de chercheurs en sécurité et de médias, les informations d'identification ont été compilées à partir d'un certain nombre de violations antérieures de Twitter remontant à 2021; des pirates ont alors découvert une vulnérabilité dans les systèmes de sécurité de Twitter. La faille a permis aux acteurs malveillants d'automatiser les recherches de comptes (saisir des adresses e-mail et des numéros de téléphone en masse pour voir s'ils étaient associés à des comptes Twitter).

Bien que la base de données n'inclue pas les mots de passe des utilisateurs, elle représente néanmoins une menace pour la sécurité des personnes concernées.

Une fuite de données décrite comme contenant les adresses e-mail de plus de 200 millions d'utilisateurs de Twitter a été publiée sur un forum de hackers populaire pour environ 2 dollars. Plusieurs médias ont confirmé la validité de la plupart des adresses e-mail répertoriées dans la fuite.

Depuis le 22 juillet 2022, les acteurs malveillants et les collecteurs de violations de données vendent et diffusent de grands ensembles de données de profils d'utilisateurs Twitter récupérés contenant à la fois des données privées (numéros de téléphone et adresses e-mail) et publiques sur divers forums de pirates en ligne et marchés de la cybercriminalité.

Ces ensembles de données ont été créés en 2021 en exploitant une vulnérabilité de l'API Twitter qui permettait aux utilisateurs de saisir des adresses e-mail et des numéros de téléphone pour confirmer s'ils étaient associés à un identifiant Twitter. Les acteurs malveillants ont ensuite utilisé une autre API pour récupérer les données publiques de Twitter pour l'ID et ont combiné ces données publiques avec des adresses e-mail/numéros de téléphone privés pour créer des profils d'utilisateurs de Twitter.

Twitter a révélé cette vulnérabilité en août 2022, affirmant avoir résolu le problème en janvier de la même année suite à un signalement dans le cadre de son programme de rémunérations pour la découverte de bogues. La société a affirmé à l'époque qu'elle « n'avait aucune preuve suggérant que quelqu'un avait profité de la vulnérabilité », mais les experts en cybersécurité avaient déjà repéré des bases de données d'informations d'identification Twitter à vendre en juillet de cette année. Cette base de données la plus récente de plus de 200 millions de comptes semble avoir ses origines dans cette vulnérabilité vieille de plusieurs années, qui est passée inaperçue sur Twitter pendant environ sept mois.

Le premier ensemble de données de 5,4 millions d'utilisateurs a été mis en vente en juillet pour 30 000 $ et finalement publié gratuitement le 27 novembre 2022. Un autre ensemble de données contenant prétendument les données de 17 millions d'utilisateurs circulait également en privé en novembre.

Plus récemment, un pirate a commencé à vendre un ensemble de données qui, selon lui, contenait 400 millions de profils Twitter collectés à l'aide de cette vulnérabilité.

Cette fois-ci, un acteur malveillant a publié un ensemble de données composé de 200 millions de profils Twitter sur le forum de piratage Breached pour huit crédits de la devise du forum, d'une valeur d'environ 2 dollars. Cet ensemble de données serait le même que l'ensemble de 400 millions circulant en novembre, mais nettoyé pour ne pas contenir de doublons, réduisant le total à environ 221 608 279 lignes, selon le PDG et fondateur de Privacy Affairs, Miklos Zoltan. « Cependant, cette fois, les données peuvent être téléchargées gratuitement par tous, au lieu d'être mises en vente à 200 000 dollars, comme c'était le cas en décembre », a-t-il écrit.

Le cybercriminel semble confirmer cela :

[J'ai masqué les données de ce message, afin de minimiser les personnes qui le trouvent, car certaines des données au début du fichier ont été publiées par les médias]

J'ai combiné les fichiers, converti en CSV, ajouté un en-tête, changé les caractères de contrôle non valides en "*", dédupliqué (y compris les 23 M qui étaient identiques à l'exception du nombre différent d'abonnés), rendu les dates plus petites et conviviales pour l'ordinateur, et supprimé les espaces qui apparaissaient avant certains e-mails. J'ai également utilisé une compression très élevée, donc le fichier compressé fait un peu plus de 4 Go. Je ne l'ai pas trié intentionnellement, donc les curieux auront plus de facilité à le comparer à l'original.

Nous obtenons 209 595 668 enregistrements [NOTEZ QUE : les reportages de 400 millions d'utilisateurs sont basés sur la non-déduplication ; les nouveaux rapports de 235 millions d'utilisateurs sont basés sur des novices qui ont dédupliqué sans supprimer les 23 millions d'utilisateurs répertoriés deux fois avec un nombre différent d'abonnés. Les rapports de 211 millions d'utilisateurs sont probablement dus à des personnes effectuant une déduplication sensible à la casse (donc "Joe@me.com" et "joe@me.com" seraient considérés comme 2 adresses e-mail différentes, ce qui n'est pas le cas)]

L'analyse des dates de fichier d'origine et des dates de création de comptes suggère fortement que cela a été collecté du début novembre 2021 au 14 décembre 2021.

Les données ont été publiées sous forme d'archive RAR composée de six fichiers texte pour une taille combinée de 59 Go de données.

Chaque ligne des fichiers représente un utilisateur de Twitter et ses données, qui incluent les adresses e-mail, les noms, les noms d'écran, le nombre de suivis et les dates de création de comptes. Contrairement aux données précédemment divulguées collectées à l'aide de cette faille de l'API Twitter, la fuite n'indique pas si un compte est vérifié.

Bien que les médias aient été en mesure de confirmer que les adresses e-mail sont correctes pour de nombreux profils Twitter répertoriés, l'ensemble de données complet n'a évidemment pas été confirmé. De plus, l'ensemble de données est loin d'être complet, car de nombreux utilisateurs n'ont pas été trouvés dans la fuite. La présence ou non de vos informations dans cet ensemble de données dépend fortement du fait que votre adresse e-mail ait été exposée lors de précédentes violations de données.

Certaines des personnes et organisations bien connues incluses dans la nouvelle fuite de base de données de 63 Go incluent Donald Trump Jr., le PDG de Google Sundar Pichai, SpaceX, la National Basketball Association des États-Unis, CBS Media et l'Organisation mondiale de la santé, selon le blog de Zoltan sur la violation.

Les experts en cybersécurité de Privacy Affairs ont examiné les données publiées et pensent que cette dernière fuite pourrait conduire à des attaques d'ingénierie sociale et à du doxxing. La disponibilité des adresses e-mail associées aux comptes répertoriés pourrait être utilisée pour déterminer l'identité réelle ou l'emplacement des titulaires de compte concernés par le biais d'attaques d'ingénierie sociale. Les adresses e-mail peuvent également être utilisées pour des campagnes de spam ou de marketing frauduleux et pour envoyer des menaces personnelles à des utilisateurs individuels.

Les analystes de Privacy Affairs ont déterminé que les numéros de téléphone n'avaient pas été divulgués dans cette fuite.

Cette fuite la plus récente fait suite à une autre fuite en décembre 2022 lorsque des cybercriminels ont publié des données provenant de plus de 400 millions de comptes Twitter. Cependant, à cette époque, les données n'étaient pas diffusées gratuitement au grand public et étaient mises en vente pour 200 000 $.

En tant que telle, même si cette fuite était plus importante, cette nouvelle pourrait être considérée comme plus grave, car désormais beaucoup plus de cybercriminels peuvent obtenir ces données.

Il n'est pas certain pour le moment comment exactement ces données ont été obtenues. La méthode la plus probable utilisée aurait pu être l'abus d'une vulnérabilité d'interface de programmation d'application (API).

La réaction des experts en cybersécurité

« C'est l'une des fuites les plus importantes que j'ai vues », a déclaré Alon Gal, co-fondateur de la société israélienne de cybersécurité Hudson Rock, dans un article décrivant le piratage sur LinkedIn. « [Elle] conduira malheureusement à beaucoup de piratage, de phishing ciblé et de doxxing ».

Troy Hunt, créateur du site d'alerte de cybersécurité Have I Been Pwned, a également analysé la brèche et a partagé ses conclusions sur Twitter : « J'ai trouvé 211 524 284 adresses e-mail uniques, cela semble être à peu près ce qu'il a été décrit ». La violation a maintenant été ajoutée aux systèmes de Have I been Pwned, ce qui signifie que n'importe qui peut visiter le site et entrer son adresse e-mail pour voir si elle a été incluse dans la base de données.

Ok folks, I know this Twitter data is in broad circulation now and I’ve had many people send it to me in the last 24 hours, I’ll take a good look at it today and work out how to handle it https://t.co/02LH4jrEQ1

— Troy Hunt (@troyhunt) January 4, 2023

Une situation qui tombe mal pour Twitter

En mai, Twitter a accepté de payer une amende de 150 millions de dollars pour avoir utilisé les numéros de téléphone des utilisateurs pour cibler les publicités, alors qu'il les a initialement collectés dans le cadre d'une authentification à deux facteurs.

« Twitter doit payer une amende de 150 millions de dollars pour avoir prétendument rompu ses promesses en matière de protection de la vie privée - une nouvelle fois », a écrit la FTC dans un billet de blogue mercredi, annonçant l'accord conclu avec Twitter et le DOJ. Selon les documents judiciaires, la FTC et le DOJ accusent Twitter d'avoir violé un accord conclu en 2011 avec les régulateurs, dans lequel la société s'engageait à ne pas utiliser les données recueillies à des fins de sécurité, comme les numéros de téléphone et les adresses électroniques des utilisateurs, pour aider les annonceurs à cibler les personnes avec des publicités.

La plainte allègue que Twitter a donné une fausse image de ses politiques aux utilisateurs entre 2013 et 2019. Pendant plus de six ans, le géant américain des médias sociaux encourageait les utilisateurs à ajouter un numéro de téléphone ou une adresse électronique pour activer des mesures de sécurité comme l'authentification à deux facteurs (2FA). Mais selon la plainte, en réalité, Twitter a également intégré ces informations dans ses données de ciblage publicitaire. La société se serait excusée de cette pratique en 2019, affirmant qu'elle avait "par inadvertance" acheminé les adresses et les numéros dans son système publicitaire.

En sus, la plainte allègue également que, pendant cette période, Twitter prétendait faussement se conformer aux cadres du bouclier de protection de la vie privée Union européenne-États-Unis et Suisse-États-Unis, qui limitaient la manière dont les entreprises pouvaient réutiliser les données des utilisateurs. Les enquêteurs fédéraux ont affirmé que Twitter n'a tenu aucune de ces promesses. « Comme l'indique la plainte, Twitter a obtenu des données des utilisateurs sous le prétexte de les exploiter à des fins de sécurité, mais a fini par les utiliser également pour cibler les utilisateurs avec des publicités », a déclaré Lina Khan, présidente de la FTC.

Commission irlandaise de protection des données

La Commission irlandaise de protection des données a annoncé une enquête sur un incident d'août qui a vu les enregistrements de contacts de 5,4 millions d'utilisateurs de Twitter déversés sur le même forum où Ryushi a évoqué les 400 millions d'utilisateurs concernés par la violation de donnée.

Twitter, a écrit l'autorité irlandaise de protection des données, a apparemment violé les dispositions du règlement général sur la protection des données, le règlement européen sur la confidentialité souvent assorti de lourdes amendes. L'agence irlandaise a invoqué en novembre le RGPD pour infliger une amende de 265 millions d'euros à Facebook après la publication en ligne d'un ensemble de données contenant les détails de plus d'un demi-milliard d'utilisateurs de médias sociaux l'année dernière.

Conclusion

La violation n'est que la dernière débâcle de cybersécurité à affecter Twitter, qui a longtemps lutté pour protéger les données de ses utilisateurs. L'entreprise fait déjà l'objet d'une enquête de l'UE pour la violation (sur la base des premiers rapports de juillet 2022) et est interrogée par la FTC pour des failles de sécurité similaires. En août dernier, l'ancien responsable de la sécurité de Twitter, Peiter "Mudge" Zatko, a lancé une alerte contre l'entreprise, déposant une plainte auprès du gouvernement américain dans laquelle il affirmait que l'entreprise couvrait des « lacunes flagrantes » dans ses défenses en matière de cybersécurité.

Consultez Have I Been Pwned pour savoir si votre adresse mail ou votre numéro de téléphone a fuité

Sources : Breached, Alon Gal, Troy Hunt, Privacy Affairs

Et vous ?

Quelle lecture en faites-vous ?
Votre adresse e-mail se retrouve-t-elle dans la base de données Have I Been Pwned ?
Quels conseils auriez-vous à donner à un internaute qui y retrouve son adresse e-mail ou son numéro de téléphone ?

Voir aussi :

Elon Musk expose Twitter à des milliards d'amendes, prévient un avocat de l'entreprise. « Elon met des fusées dans l'espace, il n'a pas peur de la FTC », aurait déclaré son avocat personnel
La FTC inflige une amende de 150 millions de dollars à Twitter pour avoir utilisé des numéros de téléphone 2FA à des fins de ciblage publicitaire, Twitter est également soumis à d'autres exigences