Twitter : les données personnelles volées sont maintenant en ligne

Les cybercriminels rendent les données des utilisateurs Twitter publiques

En juillet 2022, les données personnelles de 5,4 millions d'utilisateurs Twitter avaient été dérobées. Une partie des données n'avait pas été mise en vente. Un compte spécialisé en cybersécurité a révélé que les données de 1,4 million de profils circulent désormais sur Internet. Une information confirmée par le média Bleeping Computer.

Tous les profils sont français. Les données qui circulent sont des numéros de téléphone avec l'indicatif +33 et des adresses e-mails. « Je vous mets à disposition les données de plusieurs utilisateurs de Twitter [...]. 5.485.636, pour être exact. Vous y trouverez les informations de célébrités, d'entreprises, de particuliers… », a écrit un pirate sur un forum de piratage. 

1,4 million d'utilisateurs français concernés

En juillet 2022, un hacker a exploité une faille « zero-day », une vulnérabilité de sécurité détectée par les cybercriminels avant que les développeurs ne puissent intervenir. La faille date de fin 2021. Une API Twitter de récupération de compte utilisateur permet d'associer un numéro de téléphone ou une adresse e-mail à un compte spécifique. Cette fonctionnalité, exploitée par les hackers, doit normalement être utilisée par les développeurs en interne. Depuis, Twitter a corrigé cette faille après l'avoir identifiée dans son programme de bug bounty. 

Alors que le réseau social avait indiqué ne pas avoir connaissance de trace que la faille ait pu être exploitée. En réalité, elle l'avait déjà été en décembre 2021. Des données ont alors été dérobées en masse. Plusieurs pirates ont demandé durant l'été 2022, 30.000 $ (29.000 €) en échange de ces informations privées. En septembre 2022, et plus récemment le 24 novembre 2022, les données de 5,4 millions ont été partagées gratuitement sur un forum de piratage. 

À lire aussi Comment récupérer les données sur un smartphone ?