Les données de 400 millions d’utilisateurs de Twitter ont été mises en vente sur le dark web dans ce qui a été décrit comme l’une des plus grandes violations de données de Twitter. Cette nouvelle intervient un jour seulement après que la Commission irlandaise de protection des données (DPC) a annoncé l’ouverture d’une enquête sur une précédente fuite de données Twitter qui a touché plus de 5,4 millions d’utilisateurs. La précédente violation avait été découverte fin novembre.
Pour prouver que les données sont authentiques, le pirate a publié un échantillon de données sur l’un des forums de pirates. Ils ont même publié les données des utilisateurs de Salman Khan et de Sundar Pichai comme preuve.
L’échantillon de données contient les informations suivantes : email, nom, nom d’utilisateur, nombre de followers, date de création et, dans certains cas, le numéro de téléphone des utilisateurs.
Ce qui est choquant, c’est que l’échantillon de données fourni par le pirate comprend des données provenant de certains comptes d’utilisateurs très médiatisés. L’échantillon de données contient les données des utilisateurs suivants
- Alexandria Ocasio-Cortez
- SpaceX
- CBS Media
- Donald Trump Jr.
- Doja Cat
- Charlie Puth
- Sundar Pichai
- Salman Khan
- Le compte JWST de la NASA
- NBA
- Ministère de l’information et de la radiodiffusion, Inde
- Shawn Mendes
- Médias sociaux de l’OMS
L’échantillon de données contient de nombreuses autres données d’utilisateurs très connus. Bien que la plupart d’entre elles mèneront à l’équipe des médias sociaux, la fuite de données, si elle est légitime, va être très dommageable. Selon Alon Gal, cofondateur et directeur technique de la société israélienne de renseignement sur la cybercriminalité Hudson Rock, les données ont probablement été obtenues à partir d’une vulnérabilité API permettant à l’acteur de la menace d’interroger n’importe quel courriel ou téléphone et de récupérer un profil Twitter.
Dans son message, le pirate écrit : “Twitter ou Elon Musk, si vous lisez ceci, vous risquez déjà une amende GDPR pour 5,4 millions de violations, imaginez l’amende pour 400 millions d’utilisateurs. Votre meilleure option pour éviter de payer 276 millions de dollars US d’amende pour violation du GDPR, comme l’a fait Facebook (en raison de la récupération de 533 millions d’utilisateurs), est d’acheter ces données en exclusivité.”
Le pirate déclare qu’il est ouvert à ce que le “Deal” passe par un intermédiaire, “Après cela, je supprimerai ce fil de discussion et ne vendrai plus ces données. Et les données ne seront pas vendues à quelqu’un d’autre, ce qui empêchera beaucoup de célébrités et de politiciens de faire du Phishing, des arnaques Crypto, du Sim swapping, du Doxxing et d’autres choses qui feront que vos utilisateurs perdront confiance en vous en tant qu’entreprise et ainsi stopper la croissance actuelle et la hype que vous avez aussi imaginez des créateurs de contenu célèbres et des influenceurs se faisant pirater sur twitter, cela va certainement les faire fuir la plateforme et ruiner votre rêve de plateforme de partage de vidéos sur twitter pour les créateurs de contenu, aussi depuis que vous avez fait l’erreur de changer la politique de twitter qui a obtenu un immense retour de bâton.”
Une violation de cette ampleur risque d’exploser à la figure d’Elon Musk, qui s’est attaqué aux activités et à la politique de Twitter. Le CPD a déjà commencé à enquêter sur la violation antérieure.
