Des nouvelles données personnelles issues de Twitter sont en circulation. Ce constat a été fait le 24 novembre par Chad Loder, un compte Twitter spécialisé en cybersécurité, puis confirmé par le média américain Bleeping Computer. Concrètement, une base de données de 5,4 millions d’utilisateurs a fuité en juillet dernier. Celle-ci avait été largement médiatisée. On apprend aujourd’hui que tous les fichiers n’ont pas été mis en vente : les informations sur 1,4 million de profils Twitter étaient partagés en privé entre plusieurs pirates.
Malheureusement pour les utilisateurs français, il s’agirait de données concernant uniquement l’Hexagone selon Bleeping computer — essentiellement des numéros de téléphone. Sur Mastodon, Chad Loder a publié un échantillon avec des indicatifs +33 (représentant la France). Les numéros ont été vérifiés et il s’agit bien de citoyens français.
Le propriétaire d’un célèbre forum de pirate a déclaré à Bleeping Computer qu’il était responsable de l’exploitation de la faille — obtenue à l’origine d’un autre pirate appelé Devil — et du transfert des données des utilisateurs. La fuite initiale est désormais en libre accès sur la plateforme. Les éléments concernant ces 1,4 million d’utilisateurs seraient encore entre les mains de plusieurs malfaiteurs. Il est pour l’instant impossible de vérifier si son numéro fait partie du leak.
Ces données peuvent potentiellement être utilisées pour des attaques de phishing ciblées pour dérober des identifiants de connexion, il est donc essentiel d’examiner attentivement tout mail ou message prétendant provenir de Twitter et d’en prendre connaissance avec beaucoup de prudence.
Aucune réaction de Twitter
Le réseau social n’a pas réagi face à ces révélations. Et on se demande s’il reste encore quelqu’un dans les locaux pour gérer cette fuite ou ne serait ce que communiquer à ce sujet.
En décembre 2021, le pirate avait réussi à profiter d’une faille pour extraire des données grâce un bot qui fouille dans le site web, on parle de scraping pour désigner cette méthode. Un chercheur avait alerté Twitter en janvier : « Une vulnérabilité permet à n’importe quelle partie de récupérer un identifiant Twitter en soumettant un numéro de téléphone/e-mail même si l’utilisateur en question a bloqué cette recherche dans les paramètres de confidentialité », décrit l’expert sous le pseudonyme Zhirinovskiy.
La faille a depuis été corrigée, mais les données circulent toujours et ce nouveau dossier fait craindre d’autres potentiels leaks dans les prochains mois.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !