Les données de 400 millions d'utilisateurs de Twitter contenant des adresses de messagerie électronique privés et des numéros de téléphone liés auraient été mises en vente sur le marché noir.

La société de renseignement sur la cybercriminalité, Hudson Rock; a signalé via Twitter, ce 24 décembre, une « menace réelle », parce qu'un certain individu serait en train de vendre une base de données privée contenant les coordonnées de 400 millions de comptes d'utilisateurs de Twitter.

« La base de données privée contient des quantités effrayantes d'informations, notamment des adresses mail et des numéros de téléphone d'utilisateurs très en vue tels que AOC, Kevin O'Leary, Vitalik Buterin & plus encore », a déclaré Hudson Rock, avant d'ajouter que :

« Dans le post, l'auteur du piratage affirme qu'il a obtenu les données en début 2022 en tirant avantage d'une vulnérabilité dans Twitter, dans le but de faire chanter Elon Musk qui sera alors contraint d'acheter les données au risque de faire face à des poursuites judiciaires des clients dont le droit à la protection des données aurait été violé. »

Bien qu'il n'ait pas été en mesure de vérifier tout ce que le pirate du compte prétend avoir en sa possesion, notamment en raison du nombre impressionnant de comptes, Hudson Rock a déclaré qu'une « vérification indépendante des données elles-mêmes semble être nécessaire ».

BREAKING : Hudson Rock a découvert l'auteur d'un piratage qui vend les données de 400 000 000 d'utilisateurs de Twitter. La base de données privée contient des quantités effrayantes d'informations telles que des emails et des numéros de téléphone d'utilisateurs de haut rang tels que AOC, Kevin O'Leary, Vitalik Buterin et plus encore (1/2). pic.twitter.com/wQU5LLQeE1 - Hudson Rock (@RockHudsonRock) 24 décembre 2022

La société de sécurité Web3 DeFiYield a également jeté un coup d'œil à 1 000 comptes qui ont été donnés comme échantillon par le hacker. Il a ensuite confirmé qu'il s'agit bien de données « réelles ». Elle a également contacté le pirate via Telegram et a indiqué que celui-ci était dans l'attente active d'un acheteur.

Si elle est avérée, cette violation pourrait être une grosse source d'inquiétude pour les utilisateurs de Crypto Twitter, en particulier pour ceux qui opèrent sous un pseudonyme.

Cela dit, certains utilisateurs ont souligné qu'il est difficile de croire qu'une violation à si grande échelle (400 millions de comptes) soit vraiment possible, étant donné que le nombre actuel d'utilisateurs mensuels actifs se situerait actuellement autour de 450 millions.

À l'heure où nous écrivons ces lignes, le prétendu pirate a encore publié un message sur Breached pour proposer la vente de la base de données à ceux qui seraient intéressés. Il a également lancé un appel à Elon Musk pour que celui-ci paie 276 millions de dollars afin d'éviter la vente desdites données d'une part et d'autre part, pour ne pas se faire flanquer une amende par l'agence en charge du Règlement général relatif à la protection des données.

Si Musk s'acquitte de cette somme, le pirate promet qu'il supprimera les données et qu'elles ne seront pas vendues à qui que ce soit « afin que de nombreuses célébrités et politiciens ne se retrouvent pas victimes de phishing, d'escroqueries Crypto, de swap de sim, de Doxxing ou autres formes d'attaque ».

Annonce de la base de données du hacker : Breached: Breached

A ce qu'il paraît, les données piratées en question proviennent du « Zero-Day Hack » sur Twitter, occasion à laquelle une vulnérabilité de l'interface de programmation d'application déployée le juin 2021 a été piratée avant que la correction ne soit effectuée en janvier de cette année. Le bug a essentiellement permis aux pirates de récupérer des informations privées, informations qu'ils ont ensuite compilées dans des bases de données dans le but de les vendre sur le dark web.

À lire également : La communauté crypto troublée par la caution de 250 millions $ de Sam Bankman-Fried !

Outre cette supposée base de données, deux autres bases de données ont déjà été identifiées, l'une étant composée de près de 5,5 millions d'utilisateurs et l'autre en contenant jusqu'à 17 millions, selon un rapport publiée le 27 novembre par Bleeping Computer.

Les risques d'une telle fuite d'informations en ligne sont multiples. Ils comprennent entre autres, des tentatives de phishing ciblées par SMS et par courrier électronique, des attaques par swap de sim pour prendre contrôle des comptes des utilisateurs et le doxing d'informations privées.

Il y a de sérieuses inquiétudes à ce sujet.
#1 - Les identités de nombreux pseudo-comptes seront rendues publiques, ce qui présente des risques pour eux.
#2 - Avec un numéro de téléphone, il est très facile de trouver l'adresse et les informations bancaires de n'importe qui.
#3 - Il y aura de nombreuses tentatives de phishing soit par téléphone portable, soit des attaques physiques, soit par e-mail. - Haseeb Awan - efani.com (@haseeb) 25 décembre 2022

Il est conseillé aux uns et aux autres de prendre un certain nombre de précautions, notamment en s'assurant que les paramètres d'authentification à deux facteurs sont activés pour leurs différents comptes, en se connectant à leurs comptes via une application et non en se servant de leur numéro de téléphone, en changeant leurs mots de passe et en les stockant de manière sécurisée, et aussi en utilisant un portefeuille crypto privé auto-hébergé.