Un hacker affirme avoir dérobé les données personnelles de plus de 400 millions d’utilisateurs de Twitter, et exige 200 000 dollars pour les vendre exclusivement.

Des célébrités parmi les victimes

Se présentant sous le nom de « Ryushi », le cybercriminel explique avoir mis en vente les données sur un forum de hackers, accompagné d’un lien expliquant comment elles peuvent être exploitées pour des attaques de phishing, ou encore d’escroqueries à la cryptomonnaie.

Selon le hacker, les informations contiennent les adresses électroniques, les noms, les noms d'utilisateurs, le nombre de followers, la date de création et les numéros de téléphone des utilisateurs. Bien que tous les profils ayant fait l'objet d'une fuite semblent être associés à des adresses électroniques, nombre d'entre eux ne comportent pas de numéros de téléphone, précise Bleeping Computer. Parmi les 400 millions de comptes, on retrouve de nombreuses personnalités célèbres, comme Alexandria Ocasio-Cortez, Donald Trump Jr, Piers Morgan ou encore Sundar Pichai.

Pour les dérober, le cybercriminel a exploité, en 2021, une vulnérabilité d’API. Elle a été résolue par Twitter en janvier 2022. Elle permet à une personne d'introduire de grandes listes de numéros de téléphone et d'adresses électroniques dans une API Twitter et de recevoir un identifiant d'utilisateur associé. Le hacker a ensuite utilisé cet identifiant avec une autre adresse IP pour récupérer les données de profil publiques des utilisateurs.

Le hacker conseille à Twitter de racheter les données

Le hacker s’adresse directement à Elon Musk, et lui conseille d’acheter les données pour 200 000 dollars afin d’éviter une amende record de la part de l’Union européenne en vertu du RGPD. Il cite notamment la fuite de données majeures survenues sur Facebook l’année dernière, concernant 533 millions d’utilisateurs et pour laquelle le réseau social a écopé d’une amende record de la part de l’UE.

Il explique en outre que la vulnérabilité a auparavant été exploitée pour voler les informations de 5,3 millions de profils sur Twitter ; l’agence de protection des données irlandaise (DPC) a récemment lancé une enquête à ce sujet. « Twitter ou Elon Musk si vous lisez ceci, vous risquez déjà une amende RGPD », écrit Ryushi sur le forum. « Votre meilleure option pour éviter de payer 276 millions de dollars US en amendes pour violation du RGPD comme l'a fait Facebook (en raison de 533 millions d'utilisateurs affectés) est d'acheter ces données exclusivement », continue-t-il.

Il explique en outre que si personne ne souhaite se procurer les données de manière exclusive, alors il vendra des copies de l’échantillon à 60 000 dollars pour chaque acheteur.

De la mauvaise publicité dont le réseau social n’a pas besoin

Afin de démontrer la véracité de ses propos, le cybercriminel a publié l’exemple de données de 37 célébrités ainsi que de 1 000 profils d'utilisateurs. Alon Gal, de la société de renseignement en cybersécurité Hudson Rock, a expliqué avoir cherché à savoir de manière indépendante si les échantillons divulgués sont légitimes. Voici ce qu’il affirme sur Twitter :

« Veuillez noter : à ce stade, il n'est pas possible de vérifier complètement qu'il y a bien 400 000 000 d'utilisateurs dans la base de données. D'après une vérification indépendante, les données elles-mêmes semblent être légitimes et nous suivrons tout développement ».

Cette affaire tombe très mal pour Twitter qui connaît des temps difficiles financièrement, à tel point que son PDG, Elon Musk, multiplie les mesures drastiques pour réduire les dépenses de l’entreprise.