Les noms d'utilisateur et les adresses e-mail de plus de 200 millions d'utilisateurs de Twitter ont été mis en ligne par des pirates. Selon des rapports de chercheurs en sécurité et de médias, les informations d'identification ont été compilées à partir d'un certain nombre de violations antérieures de Twitter remontant à 2021; des pirates ont alors découvert une vulnérabilité dans les systèmes de sécurité de Twitter. La faille a permis aux acteurs malveillants d'automatiser les recherches de comptes (saisir des adresses e-mail et des numéros de téléphone en masse pour voir s'ils étaient associés à des comptes Twitter).Bien que la base de données n'inclue pas les mots de passe des utilisateurs, elle représente néanmoins une menace pour la sécurité des personnes concernées.
Une fuite de données décrite comme contenant les adresses e-mail de plus de 200 millions d'utilisateurs de Twitter a été publiée sur un forum de hackers populaire pour environ 2 dollars. Plusieurs médias ont confirmé la validité de la plupart des adresses e-mail répertoriées dans la fuite.
Depuis le 22 juillet 2022, les acteurs malveillants et les collecteurs de violations de données vendent et diffusent de grands ensembles de données de profils d'utilisateurs Twitter récupérés contenant à la fois des données privées (numéros de téléphone et adresses e-mail) et publiques sur divers forums de pirates en ligne et marchés de la cybercriminalité.
Ces ensembles de données ont été créés en 2021 en exploitant une vulnérabilité de l'API Twitter qui permettait aux utilisateurs de saisir des adresses e-mail et des numéros de téléphone pour confirmer s'ils étaient associés à un identifiant Twitter. Les acteurs malveillants ont ensuite utilisé une autre API pour récupérer les données publiques de Twitter pour l'ID et ont combiné ces données publiques avec des adresses e-mail/numéros de téléphone privés pour créer des profils d'utilisateurs de Twitter.
Twitter a révélé cette vulnérabilité en août 2022, affirmant avoir résolu le problème en janvier de la même année suite à un signalement dans le cadre de son programme de rémunérations pour la découverte de bogues. La société a affirmé à l'époque qu'elle « n'avait aucune preuve suggérant que quelqu'un avait profité de la vulnérabilité », mais les experts en cybersécurité avaient déjà repéré des bases de données d'informations d'identification Twitter à vendre en juillet de cette année. Cette base de données la plus récente de plus de 200 millions de comptes semble avoir ses origines dans cette vulnérabilité vieille de plusieurs années, qui est passée inaperçue sur Twitter pendant environ sept mois.
Le premier ensemble de données de 5,4 millions d'utilisateurs a été mis en vente en juillet pour 30 000 $ et finalement publié gratuitement le 27 novembre 2022. Un autre ensemble de données contenant prétendument les données de 17 millions d'utilisateurs circulait également en privé en novembre.
Plus récemment, un pirate a commencé à vendre un ensemble de données qui, selon lui, contenait 400 millions de profils Twitter collectés à l'aide de cette vulnérabilité.
Cette fois-ci, un acteur malveillant a publié un ensemble de données composé de 200 millions de profils Twitter sur le forum de piratage Breached pour huit crédits de la devise du forum, d'une valeur d'environ 2 dollars. Cet ensemble de données serait le même que l'ensemble de 400 millions circulant en novembre, mais nettoyé pour ne pas contenir de doublons, réduisant le total à environ 221 608 279 lignes, selon le PDG et fondateur de Privacy Affairs, Miklos Zoltan. « Cependant, cette fois, les données peuvent être téléchargées gratuitement par tous, au lieu d'être mises en vente à 200 000 dollars, comme c'était le cas en décembre », a-t-il écrit.
Le cybercriminel semble confirmer cela :
[J'ai masqué les données de ce message, afin de minimiser les personnes qui le trouvent, car certaines des données au début du fichier ont été publiées par les médias]
J'ai combiné les fichiers, converti en CSV, ajouté un en-tête, changé les caractères de contrôle non valides en "*", dédupliqué (y compris les 23 M qui étaient identiques à l'exception du nombre différent d'abonnés), rendu les dates plus petites et conviviales pour l'ordinateur, et supprimé les espaces qui apparaissaient avant certains e-mails. J'ai également utilisé une compression très élevée, donc le fichier compressé fait un peu plus de 4 Go. Je ne l'ai pas trié intentionnellement, donc les curieux auront plus de facilité à le comparer à l'original.
Nous obtenons 209 595 668 enregistrements [NOTEZ QUE : les reportages de 400 millions d'utilisateurs sont basés sur la non-déduplication ; les nouveaux rapports de 235 millions d'utilisateurs sont basés sur des novices qui ont dédupliqué sans supprimer les 23 millions d'utilisateurs répertoriés deux fois avec un nombre différent d'abonnés. Les rapports de 211 millions d'utilisateurs sont probablement dus à des personnes effectuant une déduplication sensible à la casse (donc "Joe@me.com" et "joe@me.com" seraient considérés comme 2 adresses e-mail différentes, ce qui n'est pas le cas)]
L'analyse des dates de fichier d'origine et des dates de création de comptes suggère fortement que cela a été collecté du début novembre 2021 au 14 décembre 2021.
J'ai combiné les fichiers, converti en CSV, ajouté un en-tête, changé les caractères de contrôle non valides en "*", dédupliqué (y compris les 23 M qui étaient identiques à l'exception du nombre différent d'abonnés), rendu les dates plus petites et conviviales pour l'ordinateur, et supprimé les espaces qui apparaissaient avant certains e-mails. J'ai également utilisé une compression très élevée, donc le fichier compressé fait un peu plus de 4 Go. Je ne l'ai pas trié intentionnellement, donc les curieux auront plus de facilité à le comparer à l'original.
Nous obtenons 209 595 668 enregistrements [NOTEZ QUE : les reportages de 400 millions d'utilisateurs sont basés sur la non-déduplication ; les nouveaux rapports de 235 millions d'utilisateurs sont basés sur des novices qui ont dédupliqué sans supprimer les 23 millions d'utilisateurs répertoriés deux fois avec un nombre différent d'abonnés. Les rapports de 211 millions d'utilisateurs sont probablement dus à des personnes effectuant une déduplication sensible à la casse (donc "Joe@me.com" et "joe@me.com" seraient considérés comme 2 adresses e-mail différentes, ce qui n'est pas le cas)]
L'analyse des dates de fichier d'origine et des dates de création de comptes suggère fortement que cela a été collecté du début novembre 2021 au 14 décembre 2021.
Chaque ligne des fichiers représente un utilisateur de Twitter et ses données, qui incluent les adresses e-mail, les noms, les noms d'écran, le nombre de suivis et les dates de création de comptes. Contrairement aux données précédemment divulguées collectées à l'aide de cette faille de l'API Twitter, la fuite n'indique pas si un compte est vérifié.
Bien que les médias aient été en mesure de confirmer que les adresses e-mail sont correctes pour de nombreux profils Twitter répertoriés, l'ensemble de données complet n'a évidemment pas été confirmé. De plus, l'ensemble de données est loin d'être complet, car de nombreux utilisateurs n'ont pas été trouvés dans la fuite. La présence ou non de vos informations dans cet ensemble de données dépend fortement du fait que votre adresse e-mail ait été exposée lors de précédentes violations de données.
Certaines des personnes et organisations bien connues incluses dans la nouvelle fuite de base de données de 63 Go incluent Donald Trump Jr., le PDG de Google Sundar Pichai, SpaceX, la National Basketball Association des États-Unis, CBS Media et l'Organisation mondiale de la santé, selon le blog de Zoltan sur la violation.
Envoyé par Zoltan
Les experts en cybersécurité de Privacy Affairs ont examiné les données publiées et pensent que cette dernière fuite pourrait conduire à des attaques d'ingénierie sociale et à du doxxing. La disponibilité des adresses e-mail associées aux comptes répertoriés pourrait être utilisée pour déterminer l'identité réelle ou l'emplacement des titulaires de compte concernés par le biais d'attaques d'ingénierie sociale. Les adresses e-mail peuvent également être utilisées pour des campagnes de spam ou de marketing frauduleux et pour envoyer des menaces personnelles à des utilisateurs individuels.
Les analystes de Privacy Affairs ont déterminé que les numéros de téléphone n'avaient pas été divulgués dans cette fuite.
Cette fuite la plus récente fait suite à une autre fuite en décembre 2022 lorsque des cybercriminels ont publié des données provenant de plus de 400 millions de comptes Twitter. Cependant, à cette époque, les données n'étaient pas diffusées gratuitement au grand public et étaient mises en vente pour 200 000 $.
En tant que telle, même si cette fuite était plus importante, cette nouvelle pourrait être considérée comme plus grave, car désormais beaucoup plus de cybercriminels peuvent obtenir ces données.
Il n'est pas certain pour le moment comment exactement ces données ont été obtenues. La méthode la plus probable utilisée aurait pu être l'abus d'une vulnérabilité d'interface de programmation d'application (API).
Les analystes de Privacy Affairs ont déterminé que les numéros de téléphone n'avaient pas été divulgués dans cette fuite.
Cette fuite la plus récente fait suite à une autre fuite en décembre 2022 lorsque des cybercriminels ont publié des données provenant de plus de 400 millions de comptes Twitter. Cependant, à cette époque, les données n'étaient pas diffusées gratuitement au grand public et étaient mises en vente pour 200 000 $.
En tant que telle, même si cette fuite était plus importante, cette nouvelle pourrait être considérée comme plus grave, car désormais beaucoup plus de cybercriminels peuvent obtenir ces données.
Il n'est pas certain pour le moment comment exactement ces données ont été obtenues. La méthode la plus probable utilisée aurait pu être l'abus d'une vulnérabilité d'interface de programmation d'application (API).
« C'est l'une des fuites les plus importantes que j'ai vues », a déclaré Alon Gal, co-fondateur de la société israélienne de cybersécurité Hudson Rock, dans un article décrivant le piratage sur LinkedIn. « [Elle] conduira malheureusement à beaucoup de piratage, de phishing ciblé et de doxxing ».
Troy Hunt, créateur du site d'alerte de cybersécurité Have I Been Pwned, a également analysé la brèche et a partagé ses conclusions sur Twitter : « J'ai trouvé 211 524 284 adresses e-mail uniques, cela semble être à peu près ce qu'il a été décrit ». La violation a maintenant été ajoutée aux systèmes de Have I been Pwned, ce qui signifie que n'importe qui peut visiter le site et entrer son adresse e-mail pour voir si elle a été incluse dans la base de données.
[twitter]<blockquote class="twitter-tweet"><p lang="en" dir="ltr">Ok folks, I know this Twitter data is in broad circulation now and I’ve had many people send it to me in the last 24 hours, I’ll take a good look at it today and work out how to handle it <a href="https://t.co/02LH4jrEQ1">https://t.co/02LH4jrEQ1</a></p>— Troy Hunt (@troyhunt) <a href="https://twitter.com/troyhunt/status/1610744121165217792?ref_src=twsrc%5Etfw">January 4, 2023</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script> [/twitter]
Une situation qui tombe mal pour Twitter
En mai, Twitter a accepté de payer une amende de 150 millions de dollars pour avoir utilisé les numéros de téléphone des utilisateurs pour cibler les publicités, alors qu'il les a initialement collectés dans le cadre d'une authentification à deux facteurs.
« Twitter doit payer une amende de 150 millions de dollars pour avoir prétendument rompu ses promesses en matière de protection de la vie privée - une nouvelle fois », a écrit la FTC dans un billet de blogue mercredi, annonçant l'accord conclu avec Twitter et le DOJ. Selon les documents judiciaires, la FTC et le DOJ accusent Twitter d'avoir violé un accord conclu en 2011 avec les régulateurs, dans lequel la société s'engageait à ne pas utiliser les données recueillies à des fins de sécurité, comme les numéros de téléphone et les adresses électroniques des utilisateurs, pour aider les annonceurs à cibler les personnes avec des publicités.
La plainte all...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.