Il y a beaucoup de nouvelles sur Twitter qui circulent ces jours-ci, dans le sillage long et chaotique de la prise de contrôle d’Elon Musk. Mais si vous êtes (ou avez déjà été) un utilisateur de Twitter, je vous le promets, cette histoire particulière est probablement quelque chose sur laquelle vous voudrez probablement garder un œil.
La plate-forme de médias sociaux a affirmé qu’un trésor de données utilisateur divulguées, contenant des adresses e-mail liées à environ 235 millions comptes Twitter, ne provenaient pas de ses systèmes. La compilation des informations des utilisateurs s’est terminée sur un marché du dark web, à vendre pour environ 2 $plus tôt ce mois-ci, selon plusieurs rapports.
Bien que les adresses e-mail et les identifiants Twitter correspondants puissent ne pas sembler être des informations sensibles, la fuite a suscité des inquiétudes quant au fait que les comptes de médias sociaux anonymes pourraient être liés à des identités réelles et que les informations rendraient le piratage des comptes beaucoup plus facile. Initialement, Twitter n’a pas répondu aux demandes de commentaires ou d’informations des médias. Mais maintenant, environ une semaine plus tard, la société a publié une déclaration.
« Sur la base des informations et des informations analysées pour enquêter sur le problème, rien ne prouve que les données vendues en ligne aient été obtenues en exploitant une vulnérabilité des systèmes Twitter », a écrit la société, concernant ces 235 millions de points de données d’utilisateurs, dans un article de blog du mercredi soir. . « Les données sont probablement une collection de données déjà accessibles au public en ligne via différentes sources », affirme le message.
Immédiatement après la détection de la fuite le 4 janvier, Bleeping Computer aurait confirmé la validité d’un certain nombre d’e-mails. Le média axé sur la cybersécurité a également lié ces 235 millions de paires e-mails/comptes à une fuite antérieure en décembre, contenant à la fois des numéros de téléphone et des e-mails liés à environ 400 millions de comptes Twitter. Remarque : Twitter n’avait qu’environ 368 millions utilisateurs actifs mensuels en décembre 2022, de sorte que les données divulguées pourraient, en théorie, englober tous ces comptes. Apparemment, la plus petite fuite de janvier était une version nettoyée des données antérieures avec moins de doublons, selon Bleeping Computer.
G/O Media peut toucher une commission
Jusqu’à 100 $ de crédit
Réserve Samsung
Réservez l’appareil Samsung de nouvelle génération
Tout ce que vous avez à faire est de vous inscrire avec votre e-mail et boum : crédit pour votre précommande sur un nouvel appareil Samsung.
Et, dans plusieurs rapports, ces deux vidages de données étaient pensé pour être lié à une défaillance de sécurité encore plus ancienne, que Twitter reconnu publiquement en août 2022. Une faille fatale dans l’interface de programme d’application (API) de la plate-forme sociale permettait à quiconque d’obtenir l’identifiant Twitter d’un utilisateur en recherchant son téléphone ou son e-mail, même si l’utilisateur en question n’avait pas son téléphone ou son e-mail publiquement lié à leur compte Twitter. La société a admis que la faille de l’API était liée à la vente de données par un « mauvais acteur » et a affirmé informer les utilisateurs concernés.
Cependant, dans sa déclaration de mercredi, Twitter a maintenant démenti ce lien. La société affirme qu’après une enquête interne, la fuite de 400 millions d’utilisateurs de décembre « n’a pas pu être corrélée avec l’incident signalé précédemment, ni avec aucun nouvel incident ». Et que l’ensemble de données de 200 millions de comptes de janvier « n’a pas pu être corrélé avec l’incident signalé précédemment ni avec aucune donnée provenant d’une exploitation des systèmes Twitter ». En outre, la société a affirmé que les deux ensembles de données étaient les mêmes, le plus petit étant simplement nettoyé des doublons, ce qui corrobore les rapports précédents.
Le blog de Twitter a également noté que la société est actuellement en contact avec « les autorités de protection des données et d’autres régulateurs concernés… pour fournir des éclaircissements sur l’incident présumé ». Cependant, c’est là que se termine l’explication du site. Twitter n’a fourni aucune information supplémentaire sur la manière exacte dont des compilations précises de centaines de millions de données de comptes Twitter se sont retrouvées sur un marché de pirates. Et, évidemment, le fait que l’entreprise nie toute responsabilité ne change rien au fait que l’information est disponible.
Gizmodo a contacté Twitter pour plus d’informations, mais n’a pas immédiatement reçu de réponse. Après l’acquisition du site par Musk, la société dissous ses relations publiques département.
Toute cette débâcle de données n’est que la dernière de la longue histoire de violations et de failles de sécurité de Twitter. En 2020, un piratage massif ciblant les utilisateurs célèbres a abouti au compte officiel de l’ancien président Barack Obama, parmi beaucoup d’autres, tweeter une arnaque cryptographique. Et en 2019, la plate-forme de médias sociaux a révélé une autre violation qui signifiait des tweets « privés » d’utilisateurs d’Android n’étaient en fait pas privés.
Commission irlandaise de protection des données amende twitter plus d’un demi-million de dollars pour ne pas avoir signalé et documenté rapidement cette violation d’Android. Le même régulateur irlandais est enquête aussi la vulnérabilité de l’API de la plateforme, dans une sonde annoncée en décembre.
GIPHY App Key not set. Please check settings