Un pirate informatique vient de mettre en vente, sur Breached, un forum de hackers, une base de données contenant les informations personnelles de 400 millions de comptes Twitter vérifiés. On y trouve les adresses mail et les numéros de téléphone de chaque compte. L’anonymat de ces internautes est donc compromis.
À lire aussi : l’Arcom s’inquiète des licenciements massifs décrétés par Elon Musk à la tête de Twitter
De nombreuses célébrités concernées
Dans l’annonce, le hacker, qui se fait appeler Ryushi, recommande à Elon Musk, nouveau patron de Twitter, d’acheter la base de données afin de protéger les membres du réseau social. Selon lui, un accord à l’amiable permettrait à la plate-forme américaine d’éviter une amende pour infraction au RGPD (règlement général sur la protection des données), en vigueur en Europe depuis 2018. Pour convaincre Elon Musk de sortir le chéquier, Ryushi rappelle que ces données sensibles peuvent faciliter le déploiement d’escroqueries ou d’attaques par phishing.
Le pirate précise que la fuite inclut les données de nombreuses célébrités, dont des politiciens ou des dirigeants d’entreprise. Pour prouver ses dires, le hacker a partagé un échantillon des données volées. On y trouve par exemple des informations sur le compte Twitter de la démocrate américaine Alexandria Ocasio-Cortez ou du PDG de Google, Sundar Pichai. Plusieurs personnalités phares du monde des cryptomonnaies sont également concernées. C’est le cas de Vitalik Buterin, l’un des créateurs de la blockchain Ethereum.
https://twitter.com/RockHudsonRock/status/1606644986363400193?s=20&t=7Tzi4ova3P_dJnTzY5ZP2Q
Les experts en sécurité informatique de Hudson Rock ont vérifié l’authenticité des données piratées. Après une vérification indépendante, les chercheurs ont estimé que le pirate dit la vérité. Il semble bien que les données de 400 millions d’usagers Twitter soient en vente. C’est aussi l’avis de DefiYield, une plate-forme de la finance décentralisée. Celle-ci explique avoir « vérifié chacun des 1 000 comptes donnés par le pirate ».
https://twitter.com/DefiyieldSec/status/1607152528331870208?s=20&t=TQxRyvsifkgQbB2Nltek0g
Le vendeur n’évoque pas de prix dans son annonce. Pour négocier le tarif, il faut contacter le pirate par message privé ou sur Telegram. Il précise que la base de données sera cédée à un prix élevé au plus offrant, si Elon Musk ne réagit pas.
« Twitter ne m’a pas encore contacté, j’ai proposé les données en exclusivité s’ils le veulent, mais si je ne peux pas leur vendre, je prendrai les offres d’autres personnes », explique Ryushi sur le forum.
Une faille de sécurité chez Twitter
Sur le forum, Ryushi affirme avoir exploité une vulnérabilité dans le code de Twitter. Il prétend s’être servi de la brèche pour voler les données entre 2021 et 2022. Sur Linkedin, Alon Gal, PDG de la firme Hudson Rock, estime que le pirate s’est vraisemblablement appuyé sur une brèche de l’API (Application Programming Interface) de Twitter. Grâce à cet outil, il a pu siphonner les données de n’importe quel compte en contournant la sécurité du réseau social.
Aux yeux de l’expert, l’opération rappelle le piratage de Facebook en 2019. Cette année-là, un attaquant était parvenu à s’emparer des données de 533 millions d’utilisateurs inscrits sur le réseau social. Les numéros de téléphone de millions de Français étaient notamment tombés entre les mains des pirates. D’après Facebook, un mystérieux hacker avait détourné la fonction d’import de contacts pour exfiltrer les données stockées sur ses serveurs.
Le pirate de Twitter aurait procédé de la même manière. Pour mémoire, la fonction « Permettre aux personnes qui ont votre numéro de téléphone de vous trouver sur Twitter » est déjà à l’origine d’une fuite de données repérée quelques mois plus tôt. Introduite par le biais d’une mise à jour en juin 2021, la faille a été corrigée par les ingénieurs de Twitter début 2022. Avant que l’entreprise ne réagisse, plusieurs hackers ont visiblement profité de la vulnérabilité.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.