Un pirate a mis en ligne une base de données massive de 200 millions de comptes Twitter sur un forum. De nombreux messages de phishing et d’arnaques devraient déferler sur le réseau social suite à cette fuite.

La grande braderie des données des utilisateurs de Twitter continue. Ce 4 janvier, un membre d’un célèbre forum fréquenté par les hackers a mis en vente les adresses mails de 200 millions de comptes pour seulement deux dollars, soit le prix de base pour débloquer des fichiers sur cette plateforme.

Un échantillon de 100 000 identifiants est disponible gratuitement pour vérifier que la base de données est bien légitime. Nous sommes en mesure de confirmer que plusieurs adresses mails sont conformes.

L'annonce de la vente sur un célèbre forum fréquenté par les pirates. // Source : Numerama
L’annonce de la vente sur un célèbre forum fréquenté par les pirates. // Source : Numerama

Le pirate a mis en ligne une archive RAR composée de six fichiers texte pour une taille combinée de 59 Go de données. Chaque ligne représente un utilisateur de Twitter et ses informations : les adresses électroniques, les noms, les pseudonymes, le nombre de followers ainsi que les dates de création des comptes. La base de données est déjà disponible sur d’autres forums.

Bien que les mots de passe ne soient pas inclus, cela ne va pas empêcher de nombreux malfaiteurs d’envoyer des millions de messages de phishing ou d’arnaques pour piéger les utilisateurs. De célèbres comptes Twitter ont été piratés la semaine dernière, à l’instar du présentateur anglais Piers Morgan (8,3 millions d’abonnés) ou l’acteur écossais Graham Mctavish (272 000 abonnés). On vous recommande donc d’être prudent, notamment sur les messages que vous recevez depuis le réseau social.

Une faille de sécurité majeure

Des données d’utilisateurs Twitter sont en vente depuis cet été sur de nombreux forums. En décembre 2021, le pirate avait réussi à profiter d’une faille pour extraire des données grâce à un bot qui fouille dans le site web — on parle de scraping pour désigner cette méthode. Un chercheur avait alerté Twitter en janvier : « Une vulnérabilité permet à n’importe quelle partie de récupérer un identifiant Twitter en soumettant un numéro de téléphone/e-mail même si l’utilisateur en question a bloqué cette recherche dans les paramètres de confidentialité », décrit l’expert sous le pseudonyme Zhirinovskiy. Le réseau social a corrigé la faille, mais c’était déjà trop tard. Un fichier contenant les données de 1,4 million d’utilisateurs français est également en circulation entre les hackers. 

Fin décembre, un pirate prétendait détenir les informations de 400 millions de comptes. Cette base de données serait probablement la même que celle qui a été mise en vente ce 4 janvier. En Irlande — où siège Twitter en Europe — la Commission de la protection des données (DPC) a annoncé, le 23 décembre, avoir lancé une enquête sur le groupe pour ce manque de protection des données utilisateur.


Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !