La fuite de données contient des informations publiques, comme des identifiants ou des noms de comptes Twitter. Plus inquiétant, elle embarque aussi des numéros de téléphone et des adresses e-mails, censés rester privés.
« Je vous mets à disposition les données de plusieurs utilisateurs de Twitter [...]. 5 485 636, pour être exact. Vous y trouverez les informations de célébrités, d'entreprises, de particuliers… ». Un message glaçant, posté sur un forum de piratage, qui donne une idée de l'ampleur du leak subi par la twittosphère.
Une faille qui remonte à fin 2021
À l'origine de cette fuite massive : l'exploitation d'une vulnérabilité zero-day sur une API de récupération de compte utilisateur. Cette dernière donne lieu à une fonction permettant d'associer un numéro de téléphone ou une adresse e-mail à un compte en particulier. Réservée à une utilisation interne, elle doit faire l'objet de la plus stricte confidentialité. Après avoir identifié la brèche via son programme de bug bounty, Twitter l'a corrigée en janvier dernier. « Nous n'avons pas de trace indiquant qu'elle ait pu être exploitée… », a alors fait savoir l'oiseau bleu, dans les mois suivants.
Trop tard, puisque les informations des utilisateurs ont été collectées en décembre grâce à la méthode du scraping, permettant d'extraire des données en masse. Une fois agrégées, celles-ci ont été rendues accessibles durant l'été, négociées à 30 000 dollars (environ 29 000 euros) auprès de plusieurs pirates, puis mises à disposition gratuitement.
Élargie, la base concerne 1,4 million de Français
Mais ce n'est pas la fin de l'histoire. À cette collection de données personnelles s'ajoute, en effet, un nouvel arrivage venant gonfler la base de données existante.
Et la mauvaise nouvelle, c'est qu'il concerne plus d'un million de comptes français. C'est ce qu'a révélé Chad Loder, un spécialiste en cybersécurité, en publiant un extrait de ses recherches sur le réseau social Mastodon. Parmi les données accessibles : des numéros de portable avec indicatifs en +33, des biographies et des informations sur les comptes vérifiés. En outre, des comptes basés au Royaume-Uni et dans plusieurs régions des États-Unis seraient également concernés.
La collecte de données va encore au-delà. Le site spécialisé Bleeping Computer, qui a pu échanger avec le propriétaire du forum, a indiqué que les données de plus d'un million de profils suspendus ont aussi été récupérées via une autre API. Des informations qui, cette fois-ci, n'auraient « pas été vendues, mais seulement partagées en privé entre quelques personnes », expliquent les pirates, cités par le média.
Entre bases de données non révélées, dispersées ou partagées entre les hackers uniquement, il est encore très difficile d'estimer précisément le nombre de comptes touchés par cette fuite massive. Une chose est sûre, il n'est jamais trop tard pour sécuriser son compte Twitter et réfléchir à deux fois avant d'ouvrir un e-mail ou un SMS provenant de la firme rachetée par Elon Musk.
Sources : Bleeping Computer, Gizmodo, 9to5Mac
