Plus de 200 millions d’utilisateurs de Twitter ont vu leurs noms d’utilisateurs et leurs adresses mails divulguées par des hackers. Si les mots de passe n’ont pas été publiés, le piratage, datant de plus d’un an, représente une fuite de données personnelles majeure.

Twitter avait assuré qu’il n’avait aucune preuve de l’utilisation de la brèche

Les pirates ont récolté l’ensemble des données en 2021 selon le média spécialisé BleepingComputer. Ils ont exploité une vulnérabilité de l’API Twitter, l’interface logicielle permettait aux utilisateurs de saisir des adresses mails et des numéros de téléphone pour confirmer s’ils étaient associés à un identifiant sur la plateforme. Les cybercriminels ont ensuite utilisé une autre API pour récupérer les données publiques comme la date d’anniversaire, la localisation, le nom d’utilisateur… La base de données qui en a résulté a été mise en vente une première fois à 30 000 dollars en juillet dernier et en novembre, elle était finalement achetable pour deux dollars sur un forum.

Troy Hunt, créateur du site d’alerte en cybersécurité Have I Been Pwned, a également analysé la base de données et a affirmé, « j’ai trouvé 211 524 284 adresses mails uniques ». Il a ajouté, dans un tweet, que la fuite avait été intégrée aux systèmes de son site internet. Toutes les personnes peuvent y entrer leurs adresses e-mails pour savoir si elles ont été publiées dans le cadre d’une fuite de données.

Twitter avait admis l’existence de cette vulnérabilité en août dernier. Le réseau social avait annoncé que le problème était corrigé depuis janvier 2022, après avoir été signalé par un expert en cybersécurité. L’entreprise avait déclaré qu’elle « n’avait aucune preuve suggérant que quelqu’un avait exploité la faille ». Pourtant, des spécialistes en cybersécurité avaient repéré des bases de données d’identifiants Twitter à vendre un mois avant ce communiqué. Contacté par BleepingComputer, Twitter n’a délivré aucune réponse. Depuis la prise de fonction d’Elon Musk fin octobre, le réseau social a dissous son service presse.

Cette fuite de données concernerait entre 200 et 300 millions de victimes. Ce n’est pas une première pour Twitter. La société est sous le coup d’une enquête de l’Union européenne et de la Federal Trade Commission aux États-Unis, pour ne pas avoir protégé suffisamment les données personnelles des utilisateurs. L’entreprise avait été accusée d’utiliser abusivement les numéros de téléphone de ses utilisateurs pour cibler de la publicité.

En septembre dernier, l’ancien responsable de la sécurité du réseau social, Peiter Zatko a dénoncé, devant la commission judiciaire du Sénat américain, l’absence de gestion des données personnelles et les dangers pour les utilisateurs. Cette nouvelle fuite massive est une nouvelle publicité négative dont le réseau social se serait bien passé.