En décembre 2021, des hackers sont parvenus à dérober des données personnelles d’environ 24 millions d’utilisateurs de Twitter. Sur cette période, deux cyberattaques ont été perpétrées contre l’oiseau bleu. L’une d’entre elles s’est entre autres soldée par la subtilisation des numéros de téléphone de plus d’un million de Français. Du jamais vu.
Une énorme fuite d’informations qui s’est produite sur Twitter en décembre 2021 vient d’être révélée. Un spécialiste en cybersécurité dénommé Chad Loder a déclaré qu’elle avait concerné 17 millions de comptes. Cette base de données n’avait pas été rendue publique. L’on ignore toutefois si ces renseignements avaient été diffusés sur les réseaux des pirates.
Pour prévenir un tel incident, la firme américaine recommande l’activation de l’authentification multi facteurs. Il faut de surcroît faire preuve de prudence quand on reçoit un courriel prétendant émaner de l’entreprise. D’autant plus si le message incite à cliquer sur un lien afin de taper les données de connexion du destinataire.
Les cyberattaquants ont profité d’une brèche dans la sécurité de Twitter
Chad Loder a précisé que les hackers avaient collecté 1 377 132 numéros de téléphone appartenant à des utilisateurs tricolores. L’expert a pris connaissance de cette affaire récemment. Dans un premier temps, il a dévoilé sa découverte sur Twitter, mais le réseau social semble avoir voulu la dissimuler. Ceci en raison de sa nouvelle politique, consistant à faire fonctionner le service avec le moins de collaborateurs possibles. En tout cas, le spécialiste en cybersécurité a été banni de la plateforme peu après son annonce.
À titre de remarque, les employés dans ce domaine peuvent devenir consultants portés pour profiter des avantages du portage salarial. À noter que ce dispositif permet de bénéficier simultanément des atouts du salariat (prévoyance, retraite…) et de l’indépendance (liberté, autonomie…).
Chad Loder a par la suite divulgué sur le réseau social Mastodon un échantillon épuré de la base de données. Une capture permet de voir que plusieurs comptes appartiennent réellement à des Français.
Pour mener la collecte, les cyberattaquants ont exploité une vulnérabilité dans une interface de programmation applicative (API) de Twitter. Celle-ci sert à aider les usagers à récupérer leur login sur le réseau social en cas d’oubli, en saisissant :
- Soit leur adresse électronique ;
- Soit leur numéro de téléphone.
Des profils suspendus ont été concernés
Toujours en décembre 2021, la même brèche a débouché sur une autre collecte de données. Lors de cette cyberattaque, des hackers ont réussi à voler les informations personnelles de 7 millions d’usagers de Twitter. Dans les détails, ils ont dérobé des renseignements de :
- 1,4 million de profils désactivés ;
- 5 485 636 de comptes actifs, appartenant à des organismes gouvernementaux, des entreprises ou des célébrités.
Les malfaiteurs ont accédé tant aux renseignements publics que privés des utilisateurs. Ont notamment été subtilisés leur adresse électronique ainsi que leur numéro de téléphone.
Les informations de ces 5,48 millions d’usagers circulent sur un forum de hackers depuis septembre dernier. Un pirate a même essayé de vendre ces renseignements au prix de 30 000 dollars avant de les révéler gratuitement.
La compromission de données n’a-t-elle vraiment touché que 5,48 millions de profils ? On l’ignore jusqu’à maintenant. Twitter a seulement communiqué qu’il allait aviser les personnes affectées.
Le personnel de la compagnie a corrigé la faille en janvier 2022 au terme d’un programme de chasse aux bogues. Depuis, les utilisateurs sont appelés à se montrer prudents face à la réception de messages douteux par e-mail ou SMS. Les cybercriminels s’en servent pour procéder à des campagnes d’hameçonnage à partir des données des profils Twitter. Leur but : récupérer les informations de connexion des utilisateurs.