Le hacker Ryushi affirme détenir les données personnelles liées à 400 millions de comptes Twitter. Il exige une rançon de 200 000 dollars pour supprimer ces données. La Commission irlandaise de la protection des données (l’équivalent de la CNIL en France) ouvre une enquête.

La CNIL irlandaise va enquêter sur Twitter

C’est la société de renseignement sur la cybercriminalité Hudson Rock qui affirme avoir été la première à tirer la sonnette d’alarme au sujet de cette vente massive de données liées à des comptes Twitter. L’entreprise reconnaît que la quantité de données volées n’a pas pu être vérifiée, mais selon Alon Gal, le directeur de la société, un certain nombre d’indices semblent confirmer la revendication du pirate.

Selon les premières analyses, les données volées ne semblent pas avoir été copiées à partir d’une précédente faille durant laquelle les détails de 5,4 millions de comptes Twitter avaient été diffusés. Le hacker a fourni un échantillon de 1 000 comptes et seulement 60 concordaient avec l’incident précédent. Voilà pourquoi les experts en cybersécurité pensent que le cybercriminel doit être pris au sérieux.

Alon Gal précise que « nous sommes donc convaincus que cette violation est différente et nettement plus importante que la précédente ». Il ajoute que « le pirate vise à vendre la base de données par le biais d’un service de séquestre proposé sur un forum de cybercriminalité. En général, cela ne se fait que pour des offres réelles ». Un service de séquestre permet de libérer des fonds uniquement lorsque certaines conditions (comme la remise de données) sont remplies.

Le hacker Ryushi a déclaré avoir exploité une faille dans un système qui permet aux programmes informatiques de se connecter à Twitter pour compiler les données. Une faille bien connue des équipes du réseau social. Le siège européen de Twitter étant basé à Dublin, la Commission irlandaise de la protection des données est la principale autorité chargée de contrôler le respect des règles européennes en matière de protection des données.

La Commission précise que « des rapports affirment que certains ensembles de données supplémentaires ont maintenant été mis en vente sur le dark web. Notre rôle est de nous assurer que Twitter est bien en conformité avec le RGPD ». Le pirate est parfaitement conscient des risques encourus par Twitter. Dans sa publication, il explique que la meilleure chance pour Twitter, d’éviter une lourde amende liée à la protection des données, est de payer la rançon pour récupérer les données.

En novembre, Meta s’est vu infliger une amende de 265 millions d’euros par la Commission irlandaise après la fuite en ligne de données extraites de plus de 533 millions d’utilisateurs de Facebook.