ven. Sep 13th, 2024
Fuite de données sur Twitter : 5,4 millions d’enregistrements n’étaient qu’une fraction
Rate this post

Les données utilisateur autrefois vendues à partir d’une fuite de données Twitter sont désormais disponibles gratuitement. Mais il y a bien plus…

Jusqu’à présent, à la suite d’une fuite de données de Twitter, plus de 5,4 millions de données d’utilisateurs sur la plate-forme ont été diffusées dans des forums de pirates. Le vidage de données, qui coûtait autrefois 30 000 $, est maintenant disponible gratuitement. Mais maintenant, un ensemble de données encore plus vaste a émergé, qui contient parfois des millions de numéros de téléphone privés d’utilisateurs européens.

5,4 millions d’enregistrements de la fuite de données Twitter désormais disponibles gratuitement

Un attaquant avait précédemment récupéré plus de 5,4 millions d’enregistrements d’utilisateurs de Twitter via une vulnérabilité d’API corrigée en janvier. Initialement, les données étaient en vente sur le forum Breached Hacking pour 30 000 $, comme nous l’avions annoncé en juillet. Mais entre-temps, la fuite de données sur Twitter a ouvert une nouvelle voie.

Parce que maintenant, les ensembles de données volés sont disponibles gratuitement. En plus des informations accessibles au public telles que les identifiants Twitter, les lieux, les abonnés et les noms, ils contiennent parfois également des numéros de téléphone privés et des adresses e-mail d’utilisateurs du réseau social.

1,4 million de comptes suspendus supplémentaires touchés par une violation de données

Comme le rapporte BleepingComputer, en plus des 5,4 millions d’enregistrements de données connus, la fuite de données comprenait également d’autres données provenant de 1,4 million de profils Twitter suspendus. Les attaquants les avaient collectées via une autre API, qui, cependant, fournissait également des informations privées. Le plus petit jeu de données n’a pas encore été vendu.

Cependant, les 5,4 millions d’enregistrements de données mentionnés précédemment sont récemment devenus accessibles au public en téléchargement sur un forum de pirates. Pompompurin, le propriétaire du forum de piratage Breached, a confirmé qu’il s’agissait des mêmes 5 485 635 enregistrements d’utilisateurs de fuites de données Twitter qui étaient en vente en août.

Un vidage de données encore plus important a fait surface

En utilisant le même bogue d’API, les attaquants auraient créé un vidage de données encore plus important que ce qui était connu auparavant. Cela a été souligné par l’expert en sécurité Chad Loder, dont le compte Twitter a été bloqué après la diffusion du message. Finalement, il est passé à Mastodon, où il a partagé un extrait de la violation de données.

Extrait de la fuite de données Twitter
Extrait de la fuite de données Twitter de Chad Loder (capture d’écran)

Loder a noté que l’ensemble de données comprend même des données d’utilisateurs de pays entiers. « J’ai contacté une sélection des comptes concernés et ils ont confirmé que les données piratées sont correctes« , a-t-il partagé sur Twitter.

BleepingComputer a ensuite examiné un exemple de fichier contenant à lui seul près de 1,4 million de numéros de téléphone d’utilisateurs en France. Ici aussi, un contrôle aléatoire a eu lieu, qui a confirmé que les données sont authentiques.

Apparemment, encore plus d’attaquants étaient au courant de la fuite de données sur Twitter

De plus, aucun des numéros de téléphone contenus dans l’ensemble de données examiné ne figurait dans les données précédemment vendues. Cela montre que l’ampleur de la violation de données sur Twitter a été considérablement sous-estimée jusqu’à présent. Pompompurin n’en était pas conscient non plus. Ainsi, ce sont probablement d’autres attaquants qui ont également exploité la vulnérabilité de l’API.

Dans l’ensemble, le vidage de données récemment découvert se composerait de 17 millions d’enregistrements organisés par pays et indicatif régional. Y compris de nombreuses données d’utilisateurs d’Europe et des États-Unis.

On peut supposer que les attaquants exploitent activement les données pour des attaques de phishing. Toute personne recevant des e-mails, SMS ou appels sous ses coordonnées enregistrées sur Twitter doit donc rester particulièrement vigilante.

Fuite de données sur Twitter : 5,4 millions d’enregistrements n’étaient qu’une fraction