Dans ce qui peut être présenté comme l'une des plus grandes violations de données sur Twitter, les données de 400 millions d'utilisateurs de Twitter ont été mises en vente sur le dark web. La révélation intervient un jour après que la Commission irlandaise de protection des données (DPC) a annoncé une enquête sur une fuite de données Twitter antérieure qui avait touché plus de 5,4 millions d'utilisateurs. La première brèche a été découverte fin novembre.Selon Alon Gal, cofondateur et CTO de la société israélienne de renseignement sur la cybercriminalité, Hudson Rock, les données ont probablement été obtenues à partir d'une vulnérabilité d'API permettant au cybercriminel d'interroger n'importe quel e-mail ou téléphone et de récupérer un profil Twitter.
La base de données contient énormément d'informations, parmi lesquelles des e-mails et des numéros de téléphone d'utilisateurs de haut niveau, a noté Gal sur son post LinkedIn.
Un membre d'un forum sur les violations de données criminelles affirme avoir obtenu les e-mails et les numéros de téléphone de 400 millions d'utilisateurs de Twitter dans une publication qui exhorte le PDG des médias sociaux, Elon Musk, à acheter l'ensemble de données à un prix non spécifié :
Je vends des données de plus de 400 millions d'utilisateurs Twitter uniques qui ont été extraites à cause d'une vulnérabilité, ces données sont complètement privées et comprennent des e-mails et des numéros de téléphone de célébrités, de politiciens, d'entreprises, d'utilisateurs normaux et de nombreux noms d'utilisateur OG et spéciaux.
Vous pouvez lire le cas d'utilisation complet des données ici.
Twitter ou Elon Musk si vous lisez ceci, vous risquez déjà une amende RGPD de plus de 5,4 millions suite à une violation de données. Imaginez l'amende que vous risquez pour 400 millions d'utilisateurs [touchés]. Votre meilleure option pour éviter de payer 276 millions de dollars d'amendes pour violation du RGPD comme Facebook l'a fait (en raison de 533 millions concernés) est d'acheter ces données exclusivement,
Ce qui peut passer par l'intermédiaire officiel du propriétaire ici @pompompurin ou admin @Baphomet après cela, je supprimerai ce fil et ne revendrai plus ces données.
Et les données ne seront vendues à personne d'autre, ce qui empêchera de nombreuses célébrités et politiciens de faire face à du phishing, des escroqueries crypto, du SIM swapping, du Doxxing et d'autres choses qui feront que vos utilisateurs perdent confiance en vous en tant qu'entreprise et retardent ainsi la croissance actuelle tout en contribuant au battage médiatique que vous rencontrez également.
Imaginez simplement que des créateurs de contenu et des influenceurs célèbres se font pirater sur Twitter. Cela les fera à coup sûr ghoster [ndlr. acte qui consiste à mettre fin à une relation en interrompant sans avertissement ni explication toute communication et en ignorant les tentatives de reprise de contact] la plate-forme et ruinera votre rêve de plate-forme de partage de vidéos Twitter pour créateurs de contenu. Les choses seront pire puisque vous avez commis l'erreur de modifier la politique de Twitter, ce qui a suscité un immense contrecoup.
De la part des créateurs de contenu, c'est une période sensible, ce qui aggravera les choses et si vous n'êtes pas sûr, lancez un sondage sur Twitter comme d'habitude et les gens choisiront leur sort, car, à la fin, c'est la faute de l'entreprise si ces données ont été piratées.
Voici quelques exemples de célébrités :
Vous pouvez lire le cas d'utilisation complet des données ici.
Twitter ou Elon Musk si vous lisez ceci, vous risquez déjà une amende RGPD de plus de 5,4 millions suite à une violation de données. Imaginez l'amende que vous risquez pour 400 millions d'utilisateurs [touchés]. Votre meilleure option pour éviter de payer 276 millions de dollars d'amendes pour violation du RGPD comme Facebook l'a fait (en raison de 533 millions concernés) est d'acheter ces données exclusivement,
Ce qui peut passer par l'intermédiaire officiel du propriétaire ici @pompompurin ou admin @Baphomet après cela, je supprimerai ce fil et ne revendrai plus ces données.
Et les données ne seront vendues à personne d'autre, ce qui empêchera de nombreuses célébrités et politiciens de faire face à du phishing, des escroqueries crypto, du SIM swapping, du Doxxing et d'autres choses qui feront que vos utilisateurs perdent confiance en vous en tant qu'entreprise et retardent ainsi la croissance actuelle tout en contribuant au battage médiatique que vous rencontrez également.
Imaginez simplement que des créateurs de contenu et des influenceurs célèbres se font pirater sur Twitter. Cela les fera à coup sûr ghoster [ndlr. acte qui consiste à mettre fin à une relation en interrompant sans avertissement ni explication toute communication et en ignorant les tentatives de reprise de contact] la plate-forme et ruinera votre rêve de plate-forme de partage de vidéos Twitter pour créateurs de contenu. Les choses seront pire puisque vous avez commis l'erreur de modifier la politique de Twitter, ce qui a suscité un immense contrecoup.
De la part des créateurs de contenu, c'est une période sensible, ce qui aggravera les choses et si vous n'êtes pas sûr, lancez un sondage sur Twitter comme d'habitude et les gens choisiront leur sort, car, à la fin, c'est la faute de l'entreprise si ces données ont été piratées.
Voici quelques exemples de célébrités :
| Code : | Sélectionner tout |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 | email,name,username,follower_count,creation_date,phone_number alex.ocasio@gmail.com,Alexandria Ocasio-Cortez,AOC,12772117,Wed Apr 28 22:38:40 +0000 2010 media@spacex.com,SpaceX,SpaceX,18464597,Thu Apr 23 21:53:30 +0000 2009 cracker@gmail.com,briankrebs,briankrebs,336208,Wed Mar 04 15:57:39 +0000 2009 apmcarrasco@gmail.com,Alex Morgan,alexmorgan13,3871373,Fri Apr 03 22:04:38 +0000 2009,+13106131203 dana.howbert@cbsinteractive.com,CBS,CBS,1180218,Fri Dec 18 20:16:17 +0000 2009 amalina1021@gmail.com,Sexy Feline Machine,DojaCat,3921592,Tue May 01 21:14:18 +0000 2012 djtjr@hotmail.com,Donald Trump Jr.,DonaldJTrumpJr,7197983,Mon May 11 21:18:33 +0000 2009 cputh1991@yahoo.com,Charlie Puth,charlieputh,3233448,Fri Aug 22 14:31:05 +0000 2008 Markiplier@Gmail.com,Mark,markiplier,13388019,Wed Mar 07 01:18:38 +0000 2012 kevin@kevinoleary.com,Kevin O'Leary aka Mr. Wonderful,kevinolearytv,832069,Thu Apr 16 17:22:43 +0000 2009,+16179010401 genex@orangephotography.com,gene x,x,26416,Thu Mar 29 20:37:52 +0000 2007 georgedavidson123@gmail.com,George,GeorgeNotFound,3225228,Thu Dec 25 18:29:50 +0000 2014 newmedia@ios.doi.gov,US Department of the Interior,Interior,4963916,Tue Sep 22 14:36:29 +0000 2009 minofib@gmail.com,MIB India 🇮🇳 #AmritMahotsav,MIB_India,1345332,Fri Nov 02 06:26:58 +0000 2012 socialmedia@who.int,World Health Organization (WHO),WHO,10040866,Wed Apr 23 19:56:27 +0000 2008 mark.cuban@dallasmavs.com,Mark Cuban,mcuban,8550044,Wed Sep 10 21:12:01 +0000 2008 steve@woz.org,Steve Wozniak,stevewoz,633098,Thu Mar 05 16:24:20 +0000 2009,+14088888889 newmedia@chinadailyusa.com,China Daily,ChinaDaily,4266409,Thu Nov 05 20:30:10 +0000 2009 tysonwebquery@gmail.com,Neil deGrasse Tyson,neiltyson,14551758,Thu Jan 29 18:40:26 +0000 2009 caradelevingne@gmail.com,Cara Delevingne,Caradelevingne,9462619,Wed Jun 22 12:42:03 +0000 2011 content@gerardpique.com,Gerard Piqué,3gerardpique,20165378,Wed Dec 08 13:20:43 +0000 2010 admin.dicom@justice.gouv.fr,Ministère de la Justice,justice_gouv,196384,Thu Aug 22 08:34:59 +0000 2013 sundar@gmail.com,Sundar Pichai,sundarpichai,4028991,Wed Mar 12 05:51:53 +0000 2008 chamath@gmail.com,Chamath Palihapitiya,chamath,1540845,Tue Apr 03 06:02:29 +0000 2007,+16505045412 linus@linusmediagroup.com,Linus Tech Tips,LinusTech,1501341,Wed Nov 02 19:04:43 +0000 2011 scott.morrison.mp@aph.gov.au,Scott Morrison,ScottMorrisonMP,599924,Wed Apr 22 00:51:17 +0000 2009 v@buterin.com,vitalik.eth,VitalikButerin,2954624,Sun May 08 16:03:03 +0000 2011 piers.morgan1@btinternet.com,Piers Morgan,piersmorgan,8000666,Tue Nov 16 09:37:44 +0000 2010 maggie.masetti@nasa.gov,NASA Webb Telescope,NASAWebb,582110,Tue Apr 07 15:40:56 +0000 2009 aafotouh1@gmail.com,عبدالمنعم أبو الفتوح,DrAbolfotoh,3222390,Sat Apr 09 08:00:55 +0000 2011 whitney5@mac.com,Whitney Cummings,WhitneyCummings,1444339,Wed Apr 01 06:11:05 +0000 2009,+13236464512 alkhodairy63@hotmail.com,أ.د.فهد الخضيري,DrAlkhodairy,1019212,Thu Aug 11 00:10:12 +0000 2011 arbaazkhanproduction@gmail.com,Salman Khan,BeingSalmanKhan,43109089,Tue Apr 13 02:56:21 +0000 2010 jpoorten@nba.com,NBA,NBA,34746692,Mon Feb 02 19:04:42 +0000 2009 mendeswork1@gmail.com,Shawn Mendes,ShawnMendes,26646031,Sat Sep 24 22:29:41 +0000 2011 wardell.curry30@gmail.com,Stephen Curry,StephenCurry30,15586059,Tue May 26 04:15:37 +0000 2009 ginger.zee@gmail.com,Ginger Zee,Ginger_Zee,2288381,Thu Oct 22 00:02:08 +0000 2009,+13122138966 |
La publication comprend également un lien vers une feuille de calcul contenant un millier d'enregistrements, dont une poignée appartient à des institutions publiques et dont les adresses e-mail répertoriées semblent légitimes.
La personne derrière cette publication, qui utilise un avatar masculin et répond au pseudonyme "Ryushi", indique que les enregistrements ont été exposés au scrapping « via une vulnérabilité ». Si ces données s'avéraient légitimes, la violation de données serait un coup supplémentaire pour Twitter et son directeur général assiégé, qui a déclaré après un sondage qu'il allait laisser sa casquette de PDG du réseau de médias sociaux pour se concentrer sur l'aspect ingénierie et serveurs une fois qu'il aura trouvé quelqu'un « d'assez fou » pour reprendre les rênes.
Des chances que les données sont authentiques
« Le cybercriminel a fourni un échantillon valide de 1 000 comptes notables et a inclus les informations privées d'AOC, Brian Krebs, Vitalik Buterin, Kevin O'Leary, Donald Trump Jr., et bien d'autres », a écrit Gal dans son article LinkedIn sur la violation. Gal a déclaré qu'il avait découvert le message lors de sa recherche de renseignements sur le darkweb.
David H. de CZECHMATE CZ, un service de cyberrenseignement basé en République tchèque, a confirmé sur LinkedIn avoir vérifié que les données sont bien mises en vente. Il est entré en contact avec de nombreux noms connus, dont le journaliste en cybersécurité Brian Krebs : « J'ai parlé spécifiquement à Brian Krebs, et il en est conscient », a renchéri Gal.
L'individu qui a publié la note de fuite a affirmé avoir obtenu les données au début de 2022 via un exploit sur Twitter. Il s'est adressé à Elon Musk, lui demandant d'acheter les données pour éviter les poursuites RGPD.
Une situation qui tombe mal pour Twitter
En mai, Twitter a accepté de payer une amende de 150 millions de dollars pour avoir utilisé les numéros de téléphone des utilisateurs pour cibler les publicités, alors qu'il les a initialement collectés dans le cadre d'une authentification à deux facteurs.
« Twitter doit payer une amende de 150 millions de dollars pour avoir prétendument rompu ses promesses en matière de protection de la vie privée - une nouvelle fois », a écrit la FTC dans un billet de blogue mercredi, annonçant l'accord conclu avec Twitter et le DOJ. Selon les documents judiciaires, la FTC et le DOJ accusent Twitter d'avoir violé un accord conclu en 2011 avec les régulateurs, dans lequel la société s'engageait à ne pas utiliser les données recueillies à des fins de sécurité, comme les numéros de téléphone et les adresses électroniques des utilisateurs, pour aider les annonceurs à cibler les personnes avec des publicités.
La plainte allègue que Twitter a donné une fausse image de ses politiques aux utilisateurs entre 2013 et 2019. Pendant plus de six ans, le géant américain des médias sociaux encourageait les utilisateurs à ajouter un numéro de téléphone ou une adresse électronique pour activer des mesures de sécurité comme l'authentification à deux facteurs (2FA). Mais selon la plainte, en réalité, Twitter a également intégré ces informations dans ses données de ciblage publicitaire. La société se serait excusée de cette pratique en 2019, affirmant qu'elle avait "par inadvertance" acheminé les adresses et les numéros dans son système publicitaire.
En sus, la plainte allègue également que, pendant cette période, Twitter prétendait faussement se conformer aux cadres du bouclier de protection de la vie privée Union européenne-États-Unis et Suisse-États-Unis, qui limitaient la manière dont les entreprises pouvaient réutiliser les données des utilisateurs. Les enquêteurs fédéraux ont affirmé que Twitter n'a tenu aucune de ces promesses. « Comme l'indique la plainte, Twitter a obtenu des données des utilisateurs sous le prétexte de les exploiter à des fins de sécurité, mais a fini par les utiliser également pour cibler les utilisateurs avec des publicités », a déclaré Lina Khan, présidente de la FTC.
Commission irlandaise de protection des données
La Commission irlandaise de protection des données a annoncé vendredi une enquête sur un incident d'août qui a vu les enregistrements de contacts de 5,4 millions d'utilisateurs de Twitter déversés sur le même forum où Ryushi a évoqué les 400 millions d'utilisateurs concernés par la violation de donnée.
Twitter, a écrit l'autorité irlandaise de protection des données, a apparemment violé les dispositions du règlement général sur la protection des données, le règlement européen sur la confidentialité souvent assorti de lourdes amendes. L'agence irlandaise a invoqué en novembre le RGPD pour infliger une amende de 265 millions d'euros à Facebook après la publication en ligne d'un ensemble de données contenant les détails de plus d'un demi-milliard d'utilisateurs de médias sociaux l'année dernière.
« Tout autre gouvernement peut simplement acheter ces données et espionner ses citoyens »
Avant la violation de données sur Twitter, Gal a été celui qui a découvert la violation de Meta en 2021 : « Ceci est extrêmement similaire à la base de données Facebook de 533 millions d'utilisateurs dont j'ai initialement fait état en 2021 et a entraîné une amende de 275 000 000 $ à Meta », a écrit Gal dans sa publication LinkedIn sur la violation.
Plus de 533 millions d'utilisateurs de Facebook de 106 pays ont vu leurs informations personnelles exposées lors de cet incident, dont 32 millions aux États-Unis et 11 millions au Royaume-Uni. Les données comprenaient des numéros de téléphone, des identifiants Facebook, des noms complets, des lieux, des dates de naissance, des biographies et des adresses e-mail pour certaines personnes.
Les pirates sont très friands de ce type d'informations, qu'ils pourraient utiliser pour une multitude d'activités malveillantes. Le pirate lui-même a partagé une note sur la façon dont les données pourraient être utilisées pour gagner de l'argent : « Tout autre gouvernement peut simplement acheter ces données et espionner ses citoyens, par exemple suivre leur emplacement en leur envoyant un e-mail. L'e-mail doit contenir (sic) une image GIF qui, lorsque la victime l'ouvre, peut saisir son adresse IP et ainsi le suivre », indique-t-il.
Violation de données Twitter, dommages et pénalité RGPD
Une brèche de cette ampleur pourrait exploser sur le visage d'Elon Musk, qui reçoit des critiques mondiales sur la façon dont il a transformé le fonctionnement et la politique du site de microblogging. De plus, la DPC (Commission irlandaise de protection des données) a déjà ouvert son enquête sur la violation précédente.
« La DPC a eu une correspondance avec Twitter International Unlimited Company ("TIC"
concernant une violation de données personnelles notifiée que TIC prétend être la vulnérabilité source utilisée pour générer les ensembles de données et a soulevé des requêtes concernant la conformité au RGPD », a déclaré le gendarme de la confidentialité dans un communiqué vendredi.En juillet 2022, un message sur un forum de hackers proposait de vendre les informations personnelles de plus de 5,4 millions d'utilisateurs de Twitter pour 30 000 dollars. Les données comprenaient des informations accessibles au public telles que les identifiants Twitter, les noms, les noms de connexion, les emplacements et le statut vérifié, ainsi que des informations privées telles que les adresses e-mail et les numéros de téléphone.
Le piratage s'est produit en décembre 2021 lorsqu'une vulnérabilité dans l'API Twitter a été exposée via le programme HackerOne Bug Bounty. Cette vulnérabilité permettait à quiconque de saisir un numéro de téléphone ou une adresse e-mail dans l'API et de le lier à un identifiant Twitter.
La pénalité RGPD n'est pas nouvelle pour Twitter. Il y a deux ans, la DPC a infligé une amende de 450 000 € à Twitter en raison du fait que l'entreprise n'a pas informé rapidement la DPC d'une violation dans les 72 heures prescrites par le RGPD et pour une documentation défectueuse de l'incident.
Sources : Ryushi, Hudson Rock
Et vous ?
Quelle lecture faites-vous de la situation ? Disposez-vous d'un compte Twitter ? Si oui, y avez-vous renseigné des informations comme votre numéro de téléphone ? Quelles répercussions potentielles de cette violation de données entrevoyez-vous (pour les utilisateurs lambda, les personnalités, pour le site lui-même, pour Elon Musk) ? Voir aussi :
Elon Musk expose Twitter à des milliards d'amendes, prévient un avocat de l'entreprise. « Elon met des fusées dans l'espace, il n'a pas peur de la FTC », aurait déclaré son avocat personnel La FTC inflige une amende de 150 millions de dollars à Twitter pour avoir utilisé des numéros de téléphone 2FA à des fins de ciblage publicitaire, Twitter est également soumis à d'autres exigences 
