IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Plus de 200 millions d'e-mail d'utilisateurs de Twitter divulguées par des pirates
Les professionnels de la cybersécurité craignent le déferlement d'arnaques, de doxxing et d'attaques de phishing

Le , par Stéphane le calme

7PARTAGES

8  0 
Les noms d'utilisateur et les adresses e-mail de plus de 200 millions d'utilisateurs de Twitter ont été mis en ligne par des pirates. Selon des rapports de chercheurs en sécurité et de médias, les informations d'identification ont été compilées à partir d'un certain nombre de violations antérieures de Twitter remontant à 2021; des pirates ont alors découvert une vulnérabilité dans les systèmes de sécurité de Twitter. La faille a permis aux acteurs malveillants d'automatiser les recherches de comptes (saisir des adresses e-mail et des numéros de téléphone en masse pour voir s'ils étaient associés à des comptes Twitter).

Bien que la base de données n'inclue pas les mots de passe des utilisateurs, elle représente néanmoins une menace pour la sécurité des personnes concernées.


Une fuite de données décrite comme contenant les adresses e-mail de plus de 200 millions d'utilisateurs de Twitter a été publiée sur un forum de hackers populaire pour environ 2 dollars. Plusieurs médias ont confirmé la validité de la plupart des adresses e-mail répertoriées dans la fuite.

Depuis le 22 juillet 2022, les acteurs malveillants et les collecteurs de violations de données vendent et diffusent de grands ensembles de données de profils d'utilisateurs Twitter récupérés contenant à la fois des données privées (numéros de téléphone et adresses e-mail) et publiques sur divers forums de pirates en ligne et marchés de la cybercriminalité.

Ces ensembles de données ont été créés en 2021 en exploitant une vulnérabilité de l'API Twitter qui permettait aux utilisateurs de saisir des adresses e-mail et des numéros de téléphone pour confirmer s'ils étaient associés à un identifiant Twitter. Les acteurs malveillants ont ensuite utilisé une autre API pour récupérer les données publiques de Twitter pour l'ID et ont combiné ces données publiques avec des adresses e-mail/numéros de téléphone privés pour créer des profils d'utilisateurs de Twitter.

Twitter a révélé cette vulnérabilité en août 2022, affirmant avoir résolu le problème en janvier de la même année suite à un signalement dans le cadre de son programme de rémunérations pour la découverte de bogues. La société a affirmé à l'époque qu'elle « n'avait aucune preuve suggérant que quelqu'un avait profité de la vulnérabilité », mais les experts en cybersécurité avaient déjà repéré des bases de données d'informations d'identification Twitter à vendre en juillet de cette année. Cette base de données la plus récente de plus de 200 millions de comptes semble avoir ses origines dans cette vulnérabilité vieille de plusieurs années, qui est passée inaperçue sur Twitter pendant environ sept mois.

Le premier ensemble de données de 5,4 millions d'utilisateurs a été mis en vente en juillet pour 30 000 $ et finalement publié gratuitement le 27 novembre 2022. Un autre ensemble de données contenant prétendument les données de 17 millions d'utilisateurs circulait également en privé en novembre.

Plus récemment, un pirate a commencé à vendre un ensemble de données qui, selon lui, contenait 400 millions de profils Twitter collectés à l'aide de cette vulnérabilité.

Cette fois-ci, un acteur malveillant a publié un ensemble de données composé de 200 millions de profils Twitter sur le forum de piratage Breached pour huit crédits de la devise du forum, d'une valeur d'environ 2 dollars. Cet ensemble de données serait le même que l'ensemble de 400 millions circulant en novembre, mais nettoyé pour ne pas contenir de doublons, réduisant le total à environ 221 608 279 lignes, selon le PDG et fondateur de Privacy Affairs, Miklos Zoltan. « Cependant, cette fois, les données peuvent être téléchargées gratuitement par tous, au lieu d'être mises en vente à 200 000 dollars, comme c'était le cas en décembre », a-t-il écrit.

Le cybercriminel semble confirmer cela :

[J'ai masqué les données de ce message, afin de minimiser les personnes qui le trouvent, car certaines des données au début du fichier ont été publiées par les médias]

J'ai combiné les fichiers, converti en CSV, ajouté un en-tête, changé les caractères de contrôle non valides en "*", dédupliqué (y compris les 23 M qui étaient identiques à l'exception du nombre différent d'abonnés), rendu les dates plus petites et conviviales pour l'ordinateur, et supprimé les espaces qui apparaissaient avant certains e-mails. J'ai également utilisé une compression très élevée, donc le fichier compressé fait un peu plus de 4 Go. Je ne l'ai pas trié intentionnellement, donc les curieux auront plus de facilité à le comparer à l'original.

Nous obtenons 209 595 668 enregistrements [NOTEZ QUE : les reportages de 400 millions d'utilisateurs sont basés sur la non-déduplication ; les nouveaux rapports de 235 millions d'utilisateurs sont basés sur des novices qui ont dédupliqué sans supprimer les 23 millions d'utilisateurs répertoriés deux fois avec un nombre différent d'abonnés. Les rapports de 211 millions d'utilisateurs sont probablement dus à des personnes effectuant une déduplication sensible à la casse (donc "Joe@me.com" et "joe@me.com" seraient considérés comme 2 adresses e-mail différentes, ce qui n'est pas le cas)]

L'analyse des dates de fichier d'origine et des dates de création de comptes suggère fortement que cela a été collecté du début novembre 2021 au 14 décembre 2021.
Les données ont été publiées sous forme d'archive RAR composée de six fichiers texte pour une taille combinée de 59 Go de données.

Chaque ligne des fichiers représente un utilisateur de Twitter et ses données, qui incluent les adresses e-mail, les noms, les noms d'écran, le nombre de suivis et les dates de création de comptes. Contrairement aux données précédemment divulguées collectées à l'aide de cette faille de l'API Twitter, la fuite n'indique pas si un compte est vérifié.

Bien que les médias aient été en mesure de confirmer que les adresses e-mail sont correctes pour de nombreux profils Twitter répertoriés, l'ensemble de données complet n'a évidemment pas été confirmé. De plus, l'ensemble de données est loin d'être complet, car de nombreux utilisateurs n'ont pas été trouvés dans la fuite. La présence ou non de vos informations dans cet ensemble de données dépend fortement du fait que votre adresse e-mail ait été exposée lors de précédentes violations de données.

Certaines des personnes et organisations bien connues incluses dans la nouvelle fuite de base de données de 63 Go incluent Donald Trump Jr., le PDG de Google Sundar Pichai, SpaceX, la National Basketball Association des États-Unis, CBS Media et l'Organisation mondiale de la santé, selon le blog de Zoltan sur la violation.

Citation Envoyé par Zoltan
Les experts en cybersécurité de Privacy Affairs ont examiné les données publiées et pensent que cette dernière fuite pourrait conduire à des attaques d'ingénierie sociale et à du doxxing. La disponibilité des adresses e-mail associées aux comptes répertoriés pourrait être utilisée pour déterminer l'identité réelle ou l'emplacement des titulaires de compte concernés par le biais d'attaques d'ingénierie sociale. Les adresses e-mail peuvent également être utilisées pour des campagnes de spam ou de marketing frauduleux et pour envoyer des menaces personnelles à des utilisateurs individuels.

Les analystes de Privacy Affairs ont déterminé que les numéros de téléphone n'avaient pas été divulgués dans cette fuite.

Cette fuite la plus récente fait suite à une autre fuite en décembre 2022 lorsque des cybercriminels ont publié des données provenant de plus de 400 millions de comptes Twitter. Cependant, à cette époque, les données n'étaient pas diffusées gratuitement au grand public et étaient mises en vente pour 200 000 $.

En tant que telle, même si cette fuite était plus importante, cette nouvelle pourrait être considérée comme plus grave, car désormais beaucoup plus de cybercriminels peuvent obtenir ces données.

Il n'est pas certain pour le moment comment exactement ces données ont été obtenues. La méthode la plus probable utilisée aurait pu être l'abus d'une vulnérabilité d'interface de programmation d'application (API).
La réaction des experts en cybersécurité

« C'est l'une des fuites les plus importantes que j'ai vues », a déclaré Alon Gal, co-fondateur de la société israélienne de cybersécurité Hudson Rock, dans un article décrivant le piratage sur LinkedIn. « [Elle] conduira malheureusement à beaucoup de piratage, de phishing ciblé et de doxxing ».

Troy Hunt, créateur du site d'alerte de cybersécurité Have I Been Pwned, a également analysé la brèche et a partagé ses conclusions sur Twitter : « J'ai trouvé 211 524 284 adresses e-mail uniques, cela semble être à peu près ce qu'il a été décrit ». La violation a maintenant été ajoutée aux systèmes de Have I been Pwned, ce qui signifie que n'importe qui peut visiter le site et entrer son adresse e-mail pour voir si elle a été incluse dans la base de données.


Une situation qui tombe mal pour Twitter

En mai, Twitter a accepté de payer une amende de 150 millions de dollars pour avoir utilisé les numéros de téléphone des utilisateurs pour cibler les publicités, alors qu'il les a initialement collectés dans le cadre d'une authentification à deux facteurs.

« Twitter doit payer une amende de 150 millions de dollars pour avoir prétendument rompu ses promesses en matière de protection de la vie privée - une nouvelle fois », a écrit la FTC dans un billet de blogue mercredi, annonçant l'accord conclu avec Twitter et le DOJ. Selon les documents judiciaires, la FTC et le DOJ accusent Twitter d'avoir violé un accord conclu en 2011 avec les régulateurs, dans lequel la société s'engageait à ne pas utiliser les données recueillies à des fins de sécurité, comme les numéros de téléphone et les adresses électroniques des utilisateurs, pour aider les annonceurs à cibler les personnes avec des publicités.

La plainte allègue que Twitter a donné une fausse image de ses politiques aux utilisateurs entre 2013 et 2019. Pendant plus de six ans, le géant américain des médias sociaux encourageait les utilisateurs à ajouter un numéro de téléphone ou une adresse électronique pour activer des mesures de sécurité comme l'authentification à deux facteurs (2FA). Mais selon la plainte, en réalité, Twitter a également intégré ces informations dans ses données de ciblage publicitaire. La société se serait excusée de cette pratique en 2019, affirmant qu'elle avait "par inadvertance" acheminé les adresses et les numéros dans son système publicitaire.

En sus, la plainte allègue également que, pendant cette période, Twitter prétendait faussement se conformer aux cadres du bouclier de protection de la vie privée Union européenne-États-Unis et Suisse-États-Unis, qui limitaient la manière dont les entreprises pouvaient réutiliser les données des utilisateurs. Les enquêteurs fédéraux ont affirmé que Twitter n'a tenu aucune de ces promesses. « Comme l'indique la plainte, Twitter a obtenu des données des utilisateurs sous le prétexte de les exploiter à des fins de sécurité, mais a fini par les utiliser également pour cibler les utilisateurs avec des publicités », a déclaré Lina Khan, présidente de la FTC.


Commission irlandaise de protection des données

La Commission irlandaise de protection des données a annoncé une enquête sur un incident d'août qui a vu les enregistrements de contacts de 5,4 millions d'utilisateurs de Twitter déversés sur le même forum où Ryushi a évoqué les 400 millions d'utilisateurs concernés par la violation de donnée.

Twitter, a écrit l'autorité irlandaise de protection des données, a apparemment violé les dispositions du règlement général sur la protection des données, le règlement européen sur la confidentialité souvent assorti de lourdes amendes. L'agence irlandaise a invoqué en novembre le RGPD pour infliger une amende de 265 millions d'euros à Facebook après la publication en ligne d'un ensemble de données contenant les détails de plus d'un demi-milliard d'utilisateurs de médias sociaux l'année dernière.

Conclusion

La violation n'est que la dernière débâcle de cybersécurité à affecter Twitter, qui a longtemps lutté pour protéger les données de ses utilisateurs. L'entreprise fait déjà l'objet d'une enquête de l'UE pour la violation (sur la base des premiers rapports de juillet 2022) et est interrogée par la FTC pour des failles de sécurité similaires. En août dernier, l'ancien responsable de la sécurité de Twitter, Peiter "Mudge" Zatko, a lancé une alerte contre l'entreprise, déposant une plainte auprès du gouvernement américain dans laquelle il affirmait que l'entreprise couvrait des « lacunes flagrantes » dans ses défenses en matière de cybersécurité.

Consultez Have I Been Pwned pour savoir si votre adresse mail ou votre numéro de téléphone a fuité

Sources : Breached, Alon Gal, Troy Hunt, Privacy Affairs

Et vous ?

Quelle lecture en faites-vous ?
Votre adresse e-mail se retrouve-t-elle dans la base de données Have I Been Pwned ?
Quels conseils auriez-vous à donner à un internaute qui y retrouve son adresse e-mail ou son numéro de téléphone ?

Voir aussi :

Elon Musk expose Twitter à des milliards d'amendes, prévient un avocat de l'entreprise. « Elon met des fusées dans l'espace, il n'a pas peur de la FTC », aurait déclaré son avocat personnel
La FTC inflige une amende de 150 millions de dollars à Twitter pour avoir utilisé des numéros de téléphone 2FA à des fins de ciblage publicitaire, Twitter est également soumis à d'autres exigences

Une erreur dans cette actualité ? Signalez-le nous !