Fuite de données Twitter : 1 million de Français touchés
Twitter est une fois de plus victime d'un piratage de grande ampleur. Les données personnelles de plusieurs millions d'utilisateurs – dont un million en France – sont en accès libre sur le Dark Web. De quoi ouvrir la porte aux vols d'identité...
Alors que l'arrivée d'Elon Musk à la tête de Twitter sème le chaos sur Internet, le réseau social est au cœur d'une nouvelle polémique suite à des révélations sur la fuite massive des données personnelles de plusieurs millions d'utilisateurs sur le Dark Web qui avait eu lieu en janvier. Pour rappel, les données de 5,4 millions de comptes, incluant des e-mails, des numéros de téléphone et des noms de compte, ce qui peut gravement nuire à l'anonymat de certains utilisateurs cachés dernière un pseudonyme, mais aussi des données de statut vérifié, d'emplacement, de description, de nombre d'abonnés, la date de création du compte, le nombre d'amis, le nombre de favoris, et même les images de profil. Le problème, c'est qu'il y en a beaucoup plus que ce que la société avait déclaré, et qu'elles ont été largement distribuées sur le Web...
Fuite de données Twitter : une ampleur sous-estimée
En janvier 2022, des pirates avaient étaient parvenus à voler les données personnelles de 5,4 millions d'utilisateurs grâce à une brèche de sécurité introduite par une mise à jour en juin 2021. Ils avaient profité de l'option "Permettre aux personnes qui ont votre numéro de téléphone de vous trouver sur Twitter" – option qui peut bien évidemment être désactivée depuis les réglages. La base de données a été mise en vente cet été sur un forum de piratage, comme l'a reconnu le réseau social. Selon lui, une seule entité avait exploité cette faille. Enfin, ça c'est la version officielle. En réalité, ces données ont été largement diffusées, et leur nombre est beaucoup plus élevé. Chad Loder, un expert en sécurité de renommée mondiale, a expliqué dans un thread – avant d'être banni et de se réfugier sur Mastodon – avoir comparé la base de données initiale – celles concernant 5,4 millions de comptes – avec celle qui circule actuellement sur le Dark Web :"ce ne sont PAS les mêmes données. Format complètement différent, différents comptes concernés. Probablement plusieurs acteurs qui exploitaient tous les mêmes vulnérabilités en 2021".
Les médias spécialisés Bleeping Computer et 9toMac ont vérifié les faits et confirment les découvertes de Chad Loder Ils sont entrés en contact avec le pirate qui partage actuellement les 5,4 millions de comptes Twitter sur un forum. Or, celui-ci affirme ne pas être responsable de cette nouvelle fuite, qui comporte 1,4 million de profils Twitter supplémentaires d'utilisateurs. Cela fait un total de près de 7 millions de comptes concernés, soit bien plus que les données originales vendues en août. Chad Loder explique que 1 377 132 comptes français ont été répertoriés. "L'ensemble de données comprend des comptes vérifiés, des célébrités, des politiciens éminents et des organismes gouvernementaux," précise-t-il. Les pirates peuvent les utiliser pour réaliser des campagnes de phishing personnalisées pour voler les identifiants des internautes, comme un e-mail ou SMS prétendant que le compte a été suspendu, qu'il y a des problèmes de connexion ou que l'utilisateur est sur le point de perdre son statut certifié. Il semblerait que ces révélations ne soient pas du goût d'Elon Musk puisque le compte de Chad Loder a été suspendu depuis ses déclarations, de même que ceux d'autres chercheurs en cybersécurité. Comme quoi, la liberté d'expression sur l'oiseau bleu est devenue à géométrie variable...