Cet été, on apprenait qu’une faille dans une API de Twitter avait permis la récupération de données privées pour 5,4 millions de comptes. Une brèche que Twitter avait confirmée après l’avoir corrigée. Il semble cependant que la fuite de données était plus importante que prévu, et qu’une autre plus importante ait eu lieu.
La fuite de cet été était déjà imposante. La faille affectait l’application Android et avait permis aux pirates de s’emparer des données de 5,4 millions de comptes, dont l’adresse email et le numéro de téléphone, informations normalement privées. Les personnes concernées avaient été invitées à surveiller de près d’éventuels emails ou SMS suspects, car ces données engendrent souvent des tentatives frauduleuses.
Elles avaient été collectées en décembre 2021, peu de temps avant que la faille soit signalée le 6 janvier sur la plateforme HackerOne, puis corrigée par Twitter le 13. Son découvreur avait obtenu une prime de 5 040 dollars. Le 21 juillet, la base était mise en vente par un pirate répondant au doux nom de Devil, pour 30 000 dollars.
Des données disponibles gratuitement
Cette exposition de données a cependant pris une autre ampleur, selon BleepingComputer. Une archive contenant toutes les données des 5,4 millions de comptes s’est retrouvée – gratuitement cette fois – sur un forum spécialisé (Breached), dont le propriétaire (Pompompurin) a échangé avec nos confrères.
Selon lui, ce sont bien les personnes de ce forum qui ont exploité la faille, dont les détails avaient été fournis par le fameux Devil. Ce dernier n’aurait donc pas opéré lui-même cette récupération, partageant « simplement » ses informations avec d’autres. Les informations disponibles sur Breached sont les mêmes que celles mises en vente en août et concernent précisément 5 485 635 comptes.
Pompompurin a également affirmé avoir obtenu un autre lot de données, provenant cette fois de 1,4 million de comptes suspendus. Elles auraient été récupérées en exploitant une autre API, mais le résultat n’aurait été partagé qu’avec quelques personnes, non mis en vente.
Une autre fuite plus importante ?
Il semble qu’une autre fuite, beaucoup plus importante, ait cependant eu lieu sur les mêmes bases, avec exploitation de la fameuse faille dans l’application Android. C’est ce qu’a tweeté le chercheur en sécurité Chad Loder, qui précisait que l’on retrouvait rien de moins que l’intégralité des comptes de certains pays, portant l’ensemble à 17 millions de comptes.
Sans que l’on sache pourquoi, le fil publié par Loder a été bloqué et son compte suspendu. Qu’à cela ne tienne, il a publié ses découvertes sur Mastodon, notamment une capture dans laquelle on peut voir des messages en français. Il y indique que les comptes proviennent en immense majorité d’Europe, des États-Unis et d’Israël, et qu’il a pu attester de l’authenticité des données en contactant une partie des personnes concernées pour vérifier les informations.
Selon le chercheur, ce seraient ainsi tous les comptes des utilisateurs français qui seraient concernés, tout du moins ceux dont l’option « Permettre aux personnes qui ont votre numéro de téléphone de vous trouver sur Twitter » est active (ce qu’elle est par défaut), dans la section Détectabilité des paramètres du compte.
Dans le lot de données, Chad Loder dit avoir trouvé des comptes vérifiés, des célébrités, des politiciens très en vue ainsi que des agences gouvernementales. Il doute cependant qu’il s’agisse de la même fuite de données que celle vendue l’été dernier. Ce que BleepingComputer confirme de son côté, Pompompurin lui ayant affirmé n’avoir aucun lien avec cette autre montagne d’informations. Il y avait donc d’autres personnes qui avaient connaissance de la faille et ont réussi à l’exploiter massivement.
Nos confrères ajoutent qu’ils ont pu, eux aussi, vérifier l’authenticité de ces données en contactant de leur côté un autre échantillon de personnes, prouvant notamment la validité des adresses email et numéros de téléphone présents dans l’archive.
Pas de réaction de Twitter, prudence en attendant
La plateforme d'Elon Musk, interrogée sur le sujet notamment par BleepingComputer, ne s’est pas encore exprimée. Mais tout porte à croire que cette fuite massive est réelle, et que les personnes concernées, très nombreuses, vont devoir faire attention au type de courrier qu’elles reçoivent.
Il se peut en effet que vous receviez au cours des prochaines semaines un email vous avertissant que vous pourriez perdre votre statut « Vérifié », qu’il existe des problèmes d’authentification sur votre compte, ou encore que ce dernier a été suspendu. Les chances qu’il s’agisse de tentatives de phishing sont élevées.
Soyez donc prudents, d’autant que l’aspect malveillant de ces emails n’est pas toujours si évident à détecter, même s’ils ont toujours une caractéristique commune : on vous invitera à cliquer sur un lien, là où un email officiel vous conseillera d’aller vous-même sur le site ou dans l’application pour effectuer une manipulation. La grammaire et l’orthographe du courrier peuvent également renseigner sur son authenticité.
