Des données volées sur 200 millions d’utilisateurs de Twitter désormais disponibles

Les informations de compte Twitter sur 200 millions d’utilisateurs, dont le PDG de Google Sundar Pichai et Donald Trump Jr., sont désormais disponibles gratuitement sur un forum de pirates, selon des chercheurs en sécurité.

Les chercheurs de Privacy Affairs, un groupe d’experts de plusieurs pays, affirment que les données proviennent de la même mine d’informations sur 400 millions d’utilisateurs de Twitter qui a été mise en vente sur le dark web pour 200 000 dollars en décembre.

Il ne s’agit pas d’une nouvelle fuite de données, précisent les chercheurs, mais de l’élimination des données en double du cache mis en vente le mois dernier.

Les données incluent le nom du compte, le pseudonyme, la date de création, le nombre d’abonnés et l’adresse de courriel. Elles comprennent également les comptes créés par un certain nombre d’organisations telles que SpaceX, CBS Media et la National Basketball Association.

Elles n’incluent pas les mots de passe. Néanmoins, les chercheurs préviennent que « la disponibilité des adresses de courriel associées aux comptes répertoriés pourrait être utilisée pour déterminer l’identité réelle ou l’emplacement des titulaires de comptes concernés par le biais d’attaques d’ingénierie sociale. Les adresses de courriel pourraient également être utilisées pour des campagnes de pourriels ou de marketing frauduleux et pour envoyer des menaces personnelles à des utilisateurs individuels ».

Les pirates affirment avoir obtenu ces données en grattant les informations collectées par Twitter auprès de ses utilisateurs. Cependant, les chercheurs admettent qu’ils ne savent pas comment les données ont été obtenues. La méthode la plus probable utilisée aurait pu être l’abus d’une vulnérabilité d’interface de programmation d’application (API).

Le moissonnage des données de Twitter n’est pas nouveau. Tout ce que l’on a à faire est une recherche Google de « Twitter scraping » pour trouver des astuces et des outils pour le faire.

« Le format simple et structuré de Twitter et ses diverses fonctions de publication le rendent relativement facile à naviguer et à moissonner », écrivait James Phoenix en février dernier sur un site appelé Just Understanding Data . L’API Twitter permet aux utilisateurs de lire et d’écrire des données Twitter, a-t-il ajouté, notant : « L’utilisation de l’API Twitter au lieu du moissonnage des données garantit la conformité avec les conditions d’utilisation de Twitter, mais ce n’est pas aussi efficace ou flexible que d’utiliser les services de moissonnage ».

Selon le service d’information Bleeping Computer, ce nouveau cache de données n’est pas gratuit, mais coûte à peine 2,00 $ US.

Privacy Affairs indique que sur le forum de cyberpirates où ce type de données est commercialisé, un utilisateur doit acheter des « crédits » pour télécharger les fuites publiées par les utilisateurs du forum. L’affichage des données sur le forum est gratuit, cependant, le site facture un crédit (~ 2 $) pour lancer un téléchargement.

Bleeping Computer note également que, depuis le 22 juillet, les pirates vendent et font circuler de grands ensembles de données de profils d’utilisateurs Twitter moissonnés contenant à la fois des données privées (numéros de téléphone et adresses de courriel) et des données publiques sur divers forums de pirates en ligne. Ces ensembles de données ont été créés en 2021 en exploitant une vulnérabilité de l’API Twitter qui permettait aux utilisateurs de saisir des adresses de courriel et des numéros de téléphone pour confirmer s’ils étaient associés à un identifiant Twitter. Les cybercriminels ont ensuite utilisé une autre API pour récupérer les données publiques de Twitter pour l’ID et ont combiné ces données publiques avec des adresses de courriel/numéros de téléphone privés pour créer des profils d’utilisateurs de Twitter.

Bien que Twitter ait corrigé cette faille en janvier 2022, selon le rapport, les cybercriminels ont récemment commencé à divulguer gratuitement les ensembles de données qu’ils ont collectés il y a plus d’un an.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected]

Articles connexes

La base de données clients d’un courtier hypothécaire canadien laissée ouverte sur Internet

La base de données d'un courtier hypothécaire canadien contenant des informations personnelles sur des milliers de personnes a été laissée ouverte sur Internet, selon des chercheurs en sécurité.

Balado Hashtag Tendances, 26 janvier 2023 — Poursuites contre Google et Twitter, des médicaments à 5 $ et Windows 10 plus disponible

Cette semaine : Les États-Unis poursuivent Google, Twitter poursuivie pour non-paiement du loyer, des médicaments illimités pour 5 dollars et la fin des ventes de Windows 10.

Du code source d’Okta volé sur GitHub

Du code source du fournisseur de gestion des identités et des accès Okta auraient été volés dans ses référentiels privés GitHub, selon le service d'information Bleeping Computer.

Balado Hashtag Tendances, 22 décembre 2022 — La saga Twitter, Cisco licencie, un concours de piratage et un décapsuleur bluetooth

Cette semaine : Les déboires de Twitter se poursuivent, des licenciements chez Cisco, l’Université Concordia gagne un concours de piratage et un décapsuleur intelligent.

Twitter perdrait plus de 32 millions d’utilisateurs dans le monde d’ici 2024, selon un rapport

Un rapport publié la semaine dernière par le service de recherche Insider Intelligence prédit que Twitter connaîtra un exode important au cours des deux prochaines années qui, dans le monde, totalisera plus de 32,7 millions d'utilisateurs d'ici la fin de 2024.