
Comment des pirates se sont emparés des données de millions d'utilisateurs de X
L'histoire a commencé en janvier 2023, lorsque Twitter a appris l'existence d'une faille de sécurité dans le cadre de son programme de prime aux bogues. La vulnérabilité pouvait permettre à un attaquant d'accéder aux données des utilisateurs de la plateforme en connaissant simplement leur adresse électronique ou leur numéro de téléphone. Mais en juillet 2023, Twitter a constaté que quelqu'un avait exploité la vulnérabilité avant qu'elle ne puisse être corrigée.
L'attaquant vendait une grande quantité de données d'utilisateurs qui avaient été dérobées. « Après avoir examiné un échantillon des données disponibles à la vente, nous avons confirmé qu'un acteur mal intentionné avait tiré parti du problème avant qu'il ne soit résolu », a confirmé Twitter à l'époque.
À l'époque, X a minimisé l'importance de la fuite, déclarant qu'il s'agissait de données accessibles au public. Malgré l'exposition massive d'adresses électroniques, l'entreprise a insisté sur le fait qu'aucune information sensible ou privée n'était en jeu. Cependant, les experts en cybersécurité avaient averti que la combinaison des courriels et des données publiques pourrait donner lieu à des campagnes d'hameçonnage et d'usurpation d'identité à grande échelle.
Aujourd'hui, cet incident semble s'être retourné contre les utilisateurs de X (ex-Twitter) une fois de plus. L'acteur de la menace, connu sous le pseudonyme « ThinkingOne », affirme avoir accédé à ces données et les avoir ajoutées à une autre brèche qui, selon lui, a été divulguée en janvier 2025. ThinkingOne explique avoir décidé de publier les données gratuitement, après avoir essayé de contacter l'entreprise à plusieurs reprises, sans avoir obtenu une réponse.
Les informations contenues dans la nouvelle base de données divulguée en 2025
Dans un message publié sur Breach Forums, un forum bien connu sur les violations de données, ThinkingOne a décrit la violation de données comme « la plus grande faille jamais survenue dans les médias sociaux », mais il est surprenant de constater que ni X ni le grand public ne semblent en être conscients. Selon son message, la fuite serait l'œuvre d'un employé mécontent de X, qui aurait exfiltré les données pendant une période de licenciements massifs.
Le billet de ThinkingOne indique que les données qui ont fait l'objet de fuite en janvier 2025 représentent une base de données d'environ 400 Go. Bien qu'il n'ait pas divulgué toutes les données, il affirme avoir accédé à toutes les entrées de données de la fuite de janvier 2023 et les avoir recoupées avec les nouvelles données. L'auteur précise également n'avoir inclus que les entrées des utilisateurs de la plateforme présents dans les deux ensembles de données.
Il a ensuite ajouté les nouvelles entrées des dernières données aux anciennes, ce qui a donné un fichier .CSV de 34 Go contenant au total 201 186 753 entrées de données censées appartenir aux utilisateurs de X. La base de données obtenue est une mine d'or de métadonnées de profils. Elle comprend :
- les dates de création des comptes ;
- les identifiants et les pseudonymes des utilisateurs ;
- les descriptions de profil et les URL ;
- les paramètres de localisation et de fuseau horaire ;
- les noms d'affichage (actuels et de 2021) ;
- le nombre d'abonnés en 2021 et en 2025 ;
- le nombre de tweets et l'horodatage du dernier tweet ;
- le nombre d'amis, nombre de listes et nombre de favoris ;
- la source du dernier tweet (TweetDeck ou X Web App, par exemple) ;
- les paramètres de statut (par exemple, si le profil est vérifié ou protégé).
« Nous avons examiné les informations correspondant à 100 utilisateurs de la liste, et nous avons constaté qu'elles correspondaient à ce qui était affiché sur Twitter (X). Nous avons également vérifié un nombre considérable de courriels, qui se sont avérés être des adresses électroniques valides, bien que nous ne puissions pas confirmer que les courriels appartiennent aux comptes répertoriés », a déclaré l'équipe de cybersécurité de Safety Detectives.
Le fichier CSV entier se compose de 1 048 576 lignes, chacune d'entre elles contenant vraisemblablement plusieurs points de données sur un utilisateur X. Il n'était pas protégé par un paywall, ce qui signifie qu'il pouvait être téléchargé gratuitement par toute personne disposant d'un compte sur le forum.
Quels sont les risques posés par cette exposition de données pour les utilisateurs ?
La plateforme de médias sociaux X d'Elon Musk n'est pas étrangère à l'actualité et aux critiques acerbes. Elon Musk a récemment annoncé que le réseau social a été racheté par sa startup xAI pour 33 milliards de dollars. Pour rappel, il avait racheté Twitter à l'automne 2022 pour 44 milliards de dollars. La valeur de la plateforme a chuté drastiquement au cours des années qui ont suivi en raison d'un certain nombre de décisions très controversées d'Elon Musk.
En outre, des attaquants ont également revendiqué à plusieurs reprises les pannes de la plateforme et les escroqueries au mot de passe X qui ciblent les utilisateurs sont autant d'événements. La dernière panne du réseau social date du 10 mars 2025 et Elon Musk a attribué cette panne à une cyberattaque massive.
La violation de données révélée par ThinkingOne rajoute une nouvelle couche à ces incidents qui ont défrayé la chronique. Les données prétendument divulguées présentent un risque pour la sécurité et la vie privée de tous les utilisateurs concernés par cette violation. Cela les expose aux risques suivants :
- les attaques par hameçonnage : les cybercriminels peuvent utiliser les informations divulguées pour créer des courriels ou des messages convaincants qui semblent provenir de X ou d'autres sources légitimes. Ces messages visent à inciter les personnes à fournir des informations plus sensibles ou à cliquer sur des liens malveillants ;
- les escroqueries ciblées : en connaissant l'activité d'une personne sur X, les escrocs peuvent potentiellement adapter leurs stratagèmes frauduleux pour qu'ils paraissent plus légitimes et augmentent leurs chances de succès ;
- les attaques d'ingénierie sociale : on parle d'attaque par ingénierie sociale lorsqu'un cybercriminel utilise la manipulation pour tromper une cible et l'amener à révéler des informations confidentielles ou à effectuer des actions qui mettent en péril la sécurité.
Il est important de noter que les 2,8 milliards ne correspondent pas à la réalité. En janvier 2025, X comptait environ 335,7 millions d'utilisateurs. Une explication possible est que l'ensemble de données comprend des données agrégées ou historiques, dont des comptes de robots qui ont été créés puis interdits, des comptes inactifs ou supprimés qui subsistent dans les enregistrements historiques, etc., augmentant ainsi le nombre total d'enregistrements.
En outre, certains enregistrements pourraient ne pas représenter de véritables utilisateurs, mais plutôt des entités sans activité, telles que des...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.