Plusieurs milliers de mots de passe Twitter publiés sur Pastebin ?

Un pirate anonyme a publié sur Pastebin la liste de ce qui seraient les identifiants de quelque 55 000 comptes Twitter. Le réseau social affirme toutefois que nombre d'entre eux ne sont que des comptes fantômes, et indique par ailleurs avoir pris les mesures nécessaires à la protection des utilisateurs légitimes concernés.

Le réseau social a confirmé mercredi l'ouverture d'une enquête suite à la publication, sur Pastebin, des identifiants de connexion de quelque 55 000 comptes utilisateurs. « Nous nous penchons sur la situation et avons réinitialisé les mots de passe des comptes potentiellement affectés », a rapidement fait savoir un porte-parole de Twitter via l'un des comptes supports de la société.

Y'a--il pour autant eu brèche dans les défenses de Twitter ? Sans préjuger de la nature de l'incident, le réseau social constate que la liste des comptes ainsi exposés comporte de nombreux doublons. Elle renverrait également vers des comptes fantôme, jamais utilisés, ou exploités à des seules fins de spam. Bon nombre d'entre eux ont d'ailleurs été supprimés par Twitter dans la nuit.

Le caractère hétérogène de la liste, composée pour partie d'identifiants standard (login + mot de passe), mais aussi parfois d'adresses email associées à un mot de passe, laisse par ailleurs penser à certains qu'il ne s'agit pas d'une extraction pure et simple de données en provenance des bases du réseau. D'autres avancent que la faille, si faille il y a bien eu, pourrait provenir non pas de Twitter directement, mais d'un des nombreux services satellite du réseau social.

Dans le doute, les utilisateurs qui verraient leur compte mentionné sur l'une des cinq pages Pastebin agrégeant cette liste (1, 2, 3, 4, 5) sont invités à rapidement modifier leur mot de passe.