Twitter : 4 questions sur la fuite des données de plus de 200 millions d'utilisateurs
François Manens
Ce contenu est réservé aux abonnés La Tribune

Le siège de Twitter à New York.
Reuters
François Manens
Ce contenu est réservé aux abonnés La Tribune

Le siège de Twitter à New York.
Reuters
Plus de 200 millions d'adresses email d'utilisateurs de Twitter sont accessibles publiquement. Elles se trouvent dans un fichier publié par un individu sur un forum très fréquenté par les hackers, facilement accessible depuis n'importe quel navigateur web. Autrement dit, pas besoin de passer par le réseau Tor ou le « dark web » pour le trouver. Le téléchargement des données coûte quelques crédits du site (à peine l'équivalent de deux euros), mais ces derniers peuvent aussi être obtenus en commentant et publiant sur le site. Ni Twitter ni Elon Musk ne se sont exprimés sur l'incident.
Chaque entrée de la base de données comprend l'email, l'identité, le nom d'affichage et le nombre d'abonnés d'un utilisateur, en plus de la date de création de son compte. La première version de la fuite de données contient 235 millions d'entrées, mais une version nettoyée par un autre utilisateur (sans les doublons) n'en compte « que » 209,6 millions. Ces données auraient été récupérées entre novembre et décembre 2021. A l'époque, Twitter comptait 217 millions d'utilisateurs quotidiens.
La semaine dernière, un individu sous le pseudo Ryushi vendait sur le même forum un fichier contenant prétendument les données de 400 millions de comptes Twitter, dont des numéros de téléphone. Il a menti à la fois sur la qualité et la quantité des données pour faire monter le prix de vente, en manipulant l'échantillon présenté comme preuve de bonne foi. Les numéros de téléphone auraient permis de lancer des tentatives de vol de comptes plus abouties, puisque la double authentification [le système qui demande l'entrée d'un code en plus du mot de passe lors de la connexion, ndlr] des comptes Twitter passe le plus souvent par SMS.
À lire également
D'après les propos tenus sur le forum, les données ont été collectées grâce à une faille de l'API de Twitter, l'outil qui permet aux sites et autres logiciels de récupérer les données publiques du réseau social (par exemple, à des fins publicitaires, ou pour intégrer des tweets). Un bug de fonctionnement faisait que lorsqu'une requête était envoyée avec une adresse email et un mot de passe incorrect, la réponse de l'API contenait le nom d'utilisateur associé à l'adresse email. Un individu a abusé de ce dysfonctionnement pendant plusieurs jours, et récupéré plus de 200 millions d'entrées.
François Manens
Comment les données des comptes Twitter ont-elles fuité ?