L’information est à prendre avec des pincettes, mais un post sur un forum sur les violations de données revendique une base de données personnelles de 400 millions d’abonnés de Twitter. Le pirate, qui se fait appeler Ryushi, affirme que ces informations ont été obtenues plus tôt en 2022 par le biais d’une faille.
Le post du dénommé Ryushi.
Dans son message, il indique que les données comprennent les e-mails et les numéros de téléphone des abonnés. Pour prouver ses dires, le pirate a fourni un échantillon de 1 000 comptes appartenant à des personnalités ou des organisations. L’éditeur en sécurité HudsonRock a publié sur son compte Twitter, les éléments de cette liste : Donald Trump junior, Brian Krebs, Sundar Pichai (patron d’Alphabet), Carla Delevingne ou encore le ministère de la Justice en France.
Le chantage au RGPD pour Elon Musk
Bien évidemment le pirate veut vendre son butin, mais pas à n’importe qui. Il cible en priorité le nouveau patron de Twitter, Elon Musk. Pour mettre la pression sur le dirigeant, il joue la carte du risque d’amende liée au RGPD. « Twitter ou Elon Musk si vous lisez ceci, vous risquez déjà une amende RGPD sur la violation de 5,4 millions d’utilisateurs, imaginez celle pour 400 millions. Votre meilleure option pour éviter de payer 276 millions de dollars d'amendes pour violation du RGPD comme l'a fait Facebook (en raison de la récupération de 533 millions d'utilisateurs) est d'acheter ces données en exclusivité ».
Le pirate ne donne pas le montant demandé pour une telle base de données. Il a simplement annoncé que la vente est couverte par le service de séquestre proposé par les administrateurs du forum Breached (pompompurin). Reste maintenant à vérifier l’exactitude complète de la base en question et comment une telle chose a pu se produire. Alon Gal, co-fondateur de Hudson Rock, a souligné sur son compte Linkedin que « les données sont vraisemblablement valides et ont probablement été obtenues depuis une faille dans une API donnant à l’attaquant la capacité d’interroger n’importe quel courriel/téléphone et de récupérer un profil Twitter ». De son côté, Twitter a précisé que l’échantillon des 1 000 profils faisait référence à la base découverte au mois d’août comprenant 5,4 millions de données utilisateurs. Faux, répond Alon Gal qui persiste à penser qu’il s’agit d’une autre base comprenant 400 millions de données personnelles d’abonnés Twitter. A suivre…