Les informations de compte Twitter sur 200 millions d’utilisateurs, dont le PDG de Google Sundar Pichai et Donald Trump Jr., sont désormais disponibles gratuitement sur un forum de pirates, selon des chercheurs en sécurité.
Les chercheurs de Privacy Affairs, un groupe d’experts de plusieurs pays, affirment que les données proviennent de la même mine d’informations sur 400 millions d’utilisateurs de Twitter qui a été mise en vente sur le dark web pour 200 000 dollars en décembre.
Il ne s’agit pas d’une nouvelle fuite de données, précisent les chercheurs, mais de l’élimination des données en double du cache mis en vente le mois dernier.
Les données incluent le nom du compte, le pseudonyme, la date de création, le nombre d’abonnés et l’adresse de courriel. Elles comprennent également les comptes créés par un certain nombre d’organisations telles que SpaceX, CBS Media et la National Basketball Association.
Elles n’incluent pas les mots de passe. Néanmoins, les chercheurs préviennent que « la disponibilité des adresses de courriel associées aux comptes répertoriés pourrait être utilisée pour déterminer l’identité réelle ou l’emplacement des titulaires de comptes concernés par le biais d’attaques d’ingénierie sociale. Les adresses de courriel pourraient également être utilisées pour des campagnes de pourriels ou de marketing frauduleux et pour envoyer des menaces personnelles à des utilisateurs individuels ».
Les pirates affirment avoir obtenu ces données en grattant les informations collectées par Twitter auprès de ses utilisateurs. Cependant, les chercheurs admettent qu’ils ne savent pas comment les données ont été obtenues. La méthode la plus probable utilisée aurait pu être l’abus d’une vulnérabilité d’interface de programmation d’application (API).
Le moissonnage des données de Twitter n’est pas nouveau. Tout ce que l’on a à faire est une recherche Google de « Twitter scraping » pour trouver des astuces et des outils pour le faire.
« Le format simple et structuré de Twitter et ses diverses fonctions de publication le rendent relativement facile à naviguer et à moissonner », écrivait James Phoenix en février dernier sur un site appelé Just Understanding Data . L’API Twitter permet aux utilisateurs de lire et d’écrire des données Twitter, a-t-il ajouté, notant : « L’utilisation de l’API Twitter au lieu du moissonnage des données garantit la conformité avec les conditions d’utilisation de Twitter, mais ce n’est pas aussi efficace ou flexible que d’utiliser les services de moissonnage ».
Selon le service d’information Bleeping Computer, ce nouveau cache de données n’est pas gratuit, mais coûte à peine 2,00 $ US.
Privacy Affairs indique que sur le forum de cyberpirates où ce type de données est commercialisé, un utilisateur doit acheter des « crédits » pour télécharger les fuites publiées par les utilisateurs du forum. L’affichage des données sur le forum est gratuit, cependant, le site facture un crédit (~ 2 $) pour lancer un téléchargement.
Bleeping Computer note également que, depuis le 22 juillet, les pirates vendent et font circuler de grands ensembles de données de profils d’utilisateurs Twitter moissonnés contenant à la fois des données privées (numéros de téléphone et adresses de courriel) et des données publiques sur divers forums de pirates en ligne. Ces ensembles de données ont été créés en 2021 en exploitant une vulnérabilité de l’API Twitter qui permettait aux utilisateurs de saisir des adresses de courriel et des numéros de téléphone pour confirmer s’ils étaient associés à un identifiant Twitter. Les cybercriminels ont ensuite utilisé une autre API pour récupérer les données publiques de Twitter pour l’ID et ont combiné ces données publiques avec des adresses de courriel/numéros de téléphone privés pour créer des profils d’utilisateurs de Twitter.
Bien que Twitter ait corrigé cette faille en janvier 2022, selon le rapport, les cybercriminels ont récemment commencé à divulguer gratuitement les ensembles de données qu’ils ont collectés il y a plus d’un an.
Adaptation et traduction française par Renaud Larue-Langlois.