Les pirates de Twitter publient les adresses e-mail de 200 millions de comptes
Des adresses e-mail liées à plus de 200 millions de profils Twitter circulent actuellement sur des forums clandestins de pirates informatiques, selon des experts en sécurité. La fuite de données apparente pourrait exposer les identités réelles des utilisateurs anonymes de Twitter et permettre aux criminels de détourner plus facilement les comptes Twitter, ont averti les experts, ou même les comptes des victimes sur d’autres sites Web.
Le trésor d’enregistrements divulgués comprend également les noms des utilisateurs de Twitter, les identifiants de compte, les numéros d’abonnés et les dates de création des comptes, selon les listes de forums examinées par des chercheurs en sécurité et partagées avec CNN.
« Les mauvais acteurs ont remporté le jackpot », a déclaré Rafi Mendelsohn, porte-parole de Cyabra, une société d’analyse des médias sociaux axée sur l’identification de la désinformation et des comportements en ligne inauthentiques. « Auparavant, les données privées telles que les e-mails, les identifiants et la date de création peuvent être exploitées pour créer des campagnes de piratage, de phishing et de désinformation plus intelligentes et plus sophistiquées. »
Certains rapports suggèrent que les données ont été collectées en 2021 via un bogue dans les systèmes de Twitter, une faille que l’entreprise a corrigée en 2022 après qu’un incident distinct en juillet impliquant 5,4 millions de comptes Twitter a alerté l’entreprise de la vulnérabilité.
Troy Hunt, un chercheur en sécurité, a déclaré jeudi que son analyse des données « a trouvé 211 524 284 adresses e-mail uniques » qui avaient été divulguées. Le Washington Post a rapporté plus tôt une liste de forum faisant la promotion des données de 235 millions de comptes.
Hunt n’a pas immédiatement répondu à une question de CNN demandant si les enregistrements seraient ajoutés à son site Web, haveibeenpwned.com, qui permet aux utilisateurs de rechercher des enregistrements piratés pour déterminer s’ils ont été affectés. CNN n’a pas vérifié de manière indépendante l’authenticité des enregistrements.
Twitter n’a pas immédiatement répondu à une demande de commentaire. Son équipe de communication, ainsi qu’environ la moitié de l’effectif global de Twitter, a été vidé après que le milliardaire Elon Musk a finalisé son acquisition de la société fin octobre. Les importantes réductions de personnel pourraient maintenant ajouter aux inquiétudes quant à la capacité de l’entreprise à répondre aux menaces de sécurité.
L’ampleur des fuites de données pourrait permettre à des acteurs malveillants ou à des gouvernements répressifs de connecter des identifiants Twitter anonymes avec les vrais noms ou adresses e-mail de leurs propriétaires, démasquant potentiellement des dissidents, des journalistes, des militants ou d’autres utilisateurs à risque dans le monde, avertissent des chercheurs en sécurité.
« Pour ces personnes, il s’agit d’une violation très conséquente », a déclaré John Scott-Railton, chercheur en sécurité au Citizen Lab de l’Université de Toronto.
Les données de compte pourraient également être précieuses pour les pirates qui peuvent utiliser les informations dans le cadre de tentatives de réinitialisation de mot de passe et de prises de contrôle de compte. Le risque est particulièrement élevé pour les personnes qui utilisent les mêmes informations d’identification de compte sur Twitter que pour d’autres services numériques tels que les banques ou le stockage en nuage, ont déclaré les chercheurs, car les pirates pourraient prendre des informations glanées à partir de la fuite pour ouvrir des comptes d’utilisateurs ailleurs.
Les utilisateurs vérifiés de Twitter pris dans la fuite apparente, ou les utilisateurs particulièrement suivis, seront des cibles particulièrement précieuses à la suite de la fuite, ont averti les experts en sécurité, car ces titulaires de compte peuvent être des célébrités particulièrement influentes ou susceptibles d’être extorqués.
Pour se protéger des tentatives de phishing, les internautes doivent utiliser des mots de passe uniques pour chaque service en ligne et en garder une trace à l’aide d’un gestionnaire de mots de passe numériques, selon les chercheurs en sécurité. Ils doivent également activer l’authentification multifacteur pour chacun de leurs comptes et faire preuve de prudence lors de l’ouverture d’e-mails ou de liens non sollicités.
Selon le média de cybersécurité BleepingComputer, qui a prétendu tester les données, le dernier vidage semble similaire à un ensemble de données divulgué annoncé sur des forums de piratage en novembre contenant 400 millions d’enregistrements présumés, mais réduit pour éliminer certains enregistrements en double. Twitter n’a pas commenté cette fuite.
Les rapports sur la fuite pourraient étendre le risque juridique et réglementaire déjà important de Twitter.
En décembre, le principal régulateur européen de la confidentialité de Twitter, la Commission irlandaise de protection des données, a déclaré qu’il enquêtait sur la fuite de juillet 2022 comme une violation possible de la loi européenne sur la confidentialité, connue sous le nom de RGPD.
L’été dernier, l’ancien responsable de la sécurité de la société, Peiter « Mudge » Zatko, a déposé un rapport de dénonciation auprès du gouvernement américain alléguant des vulnérabilités de sécurité longtemps ignorées dans les opérations de Twitter. Zatko a affirmé que les lacunes de Twitter en matière de sécurité reflétaient une violation des engagements contraignants de Twitter envers la Federal Trade Commission, une infraction grave. (Twitter a largement et à plusieurs reprises repoussé les allégations de Zatko.)
Des incidents successifs sur Twitter ont conduit l’entreprise à signer deux ordonnances de consentement avec la FTC depuis 2011 pour améliorer sa posture de cybersécurité. Les violations des ordonnances de la FTC peuvent entraîner des amendes, des restrictions commerciales et même des sanctions visant des cadres individuels.
En novembre, les hauts responsables de Twitter responsables de la confidentialité et de la sécurité ont démissionné de l’entreprise, quelques jours seulement après que Musk a conclu son achat de la plate-forme et au milieu des licenciements massifs qui, dans certains cas, ont coupé des départements entiers.