Encore un peu plus de mystère plane derrière l’origine de la vente d’une base comprenant 200 millions de données d’abonnés Twitter (400 M au départ). En effet, la firme dirigée par Elon Musk est sortie de son silence pour évoquer cette affaire en expliquant dans un communiqué avoir « mené une enquête approfondie et rien ne prouve que les données récemment vendues ont été obtenues en exploitant une vulnérabilité des systèmes de Twitter ».
Une façon de contrecarrer l’idée que cette base serait la conséquence d’une faille corrigée en janvier 2022. En août dernier, Twitter avait confirmé une fuite de données touchant 5,4 millions d’abonnés et résultant de cette vulnérabilité. « L'ensemble de données de 200 millions d'utilisateurs n'a pas pu être corrélé avec l'incident précédemment signalé ni avec aucune donnée provenant d'une exploitation des systèmes de Twitter », précise la firme à l’oiseau bleu.
Des explications au goût d’inachevé
Elle ajoute « aucun des ensembles de données analysés ne contenait de mots de passe ou d'informations pouvant entraîner la compromission de mots de passe ». Pour la société, « les données sont probablement une collection d’informations déjà disponibles publiquement en ligne par le biais de différentes sources ». Reste que dans sa communication, Twitter n’explique pas comment le cybercriminel à l'origine de la fuite de données a réussi à relier avec précision les adresses mails de la fuite de données aux comptes des utilisateurs concernés.
Sur la notification de la violation de données, Twitter confirme être en contact avec les autorités de protection des données et d’autres régulateurs dans plusieurs pays pour fournir des détails supplémentaires concernant « les incidents présumés ». Pour rappel, la Cnil irlandaise a lancé une enquête et soulevé des questions de conformité au RGPD à la suite de la fuite de données concernant 5,4 millions d’utilisateurs. La firme américaine s’était déjà fait condamné en 2020 par le DPC irlandais a 450 000€ d’amende pour ne pas avoir notifié un incident dans le délai de 72 h prévu par le RGPD.