Un hacker a mis en vente les données de 400 millions de comptes Twitter, parmi lesquelles leurs numéros de téléphone et leurs adresses e-mail. Si un doute subsiste sur les propos du vendeur, plusieurs détails laissent penser qu’il ne mentirait pas. Il appelle Elon Musk à acheter lui-même la base de données pour s’éviter des ennuis, mais ce dernier n’a pour l’instant pas commenté l’incident.
Nouveau problème à gérer pour Elon Musk ? Une annonce publiée le 23 décembre sur le plus populaire des forums de vente de données devrait attirer son attention. Un utilisateur, sous le pseudonyme Ryushi, affirme détenir les données de 400 millions de comptes Twitter. Il s’agirait d’un mélange de données publiques (noms d’utilisateur, dates de création du compte...) et privées (adresses email et leurs numéros de téléphone).
Sans donner de prix, le malfrat compte vendre la base de données à un acheteur unique, et il suggère d’un ton menaçant à Elon Musk de devenir l’acquéreur afin d’éviter les ennuis. En jeu : la réputation du réseau social, mais aussi une potentielle amende de la part du régulateur européen. Le milliardaire propriétaire du réseau social, pourtant d’habitude prompt à répondre au moindre commentaire sur sa plateforme, ne s’est pour l’instant pas prononcé sur le sujet, malgré plusieurs prises à parti.
[…]
En effet Ryushi affirme avoir récupéré les données au début de l’année 2022, grâce à une vulnérabilité qui a déjà fait parler d’elle. En juillet, un autre individu avait mis à la vente une base de données similaire, mais avec « seulement » 5,4 millions de comptes, pour 30.000 dollars. A l’intérieur se trouvait essentiellement des données publiques, mais aussi un certain nombre de numéros de téléphone et d’adresses email.
Les données, datées de décembre 2021, avaient été collectées grâce à une faille de l’API de Twitter -l’outil qui permet aux sites et autres logiciels de récupérer les données publiques du réseau social (par exemple, à des fins publicitaires, ou pour intégrer des tweets). Mais un bug de fonctionnement permettait aux hackers, en envoyant des numéros de téléphones et des adresses email aléatoires à l’API, de récupérer l’identifiant Twitter associé. Grâce à cet identifiant (qui prend la forme d’une suite de chiffres), les malfrats pouvaient ensuite récupérer toutes sortes d’informations publiques sur le compte, en utilisant l’API. Autrement dit, l’API ne donnait pas directement de données privées, mais permettait de les découvrir indirectement. La faille avait été remontée à Twitter par un hacker éthique via le programme de bug bounty de Hacker One, et corrigée dans la foulée.
Un mois après la vente des données, le réseau social avait confirmé l’existence de la faille et son lien avec la base de données. Finalement, la base des 5,4 millions de comptes a été publiée gratuitement en septembre par un autre individu, puis à nouveau fin novembre. Le Bleeping Computer révélait alors que plusieurs acteurs malveillants avaient exploité la faille pour voler des informations privées, et Ryushi serait probablement l’un d’entre eux. D’après Alon Gal, seules 50 des 1.000 entrées de l’échantillon se trouvaient dans la base des 5,4 millions de données. De quoi faire craquer un acheteur ?