Twitter : les données de 400 millions d’utilisateurs piratées
Un hacker a profité d’une faille de sécurité pour siphonner les données personnelles de 400 millions d’utilisateurs de Twitter.
Twitter n’est pas au bout de ses peines. Les données de 400 millions de ses utilisateurs sont en vente sur le forum de hackers Breached. On y retrouve notamment des adresses mail et des numéros de téléphones. Le pirate a fourni un échantillon d’un millier de comptes pour prouver ses dires. Échantillon qui comprend les informations de certains comptes très suivis, comme celui de l’ancien président des États-Unis, Donald Trump.
C’est l’entreprise spécialisée dans la cybersécurité Hudson Rock qui a dévoilé le scandale…sur Twitter. Selon la société, les données correspondent et valide les affirmations du pirate. Toutefois, Hudson Rock précise qu’à ce stade, il est impossible de savoir si les chiffres avancés par le hacker sont véridiques. Pour rappel, Twitter compte environ 465 millions d’utilisateurs actifs. Autrement dit, si la menace est bien réelle, le pirate détient les données de plus de 86% de la communauté du réseau.
Une vente au forceps
Le pirate, qui se fait appeler Ryushi, propose donc les informations à la vente, sur le forum. Non seulement à d’autres hackers, mais aussi à Twitter et son propriétaire, Elon Musk. En effet, Ryushi indique qu’il est prêt à négocier une vente exclusive avec le milliardaire. Et il le fait en jouant sur la corde sensible. « Twitter ou Elon Musk, si vous lisez ceci, vous savez déjà que vous risquez une amende du RGPD pour une infraction concernant 5,4 millions d’utilisateurs, alors imaginez une amende pour une infraction qui concerne 400 millions d’utilisateurs », écrit Ryushi. « Votre meilleure option pour éviter de payer 276 millions de dollars US d’amende pour violation du RGPD comme l’a fait Facebook (en raison de la récupération des données de 533 millions d’utilisateurs) est d’acheter ces données en exclusivité ».
Selon le PDG de Hudson Rock, Alon Gal, le pirate se serait introduit dans le système en profitant d’une brèche de l’interface de programmation (API) de Twitter. Laquelle lui aurait donc permis de siphonner les données de 400 millions d’utilisateurs au nez et à la barbe du réseau. Or, il est peu probable qu’Elon Musk accède aux demandes du pirate. Aucun montant n’est mentionné par Ryushi, mais celui-ci a précisé dans un autre poste que Twitter ne l’avait toujours pas contacté. Ce qui signifie, a priori, que les adeptes de l’oiseau bleu doivent se préparer à plusieurs vagues de phishing et autres arnaques dans les semaines et les mois à venir…
