Plusieurs dizaines de millions de comptes Twitter compromis
![Image [Piratage d’Intersport :] Hunters International en héritier de Hive](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-attack-danger-2024-885x690.jpg)
![Image La ville de Saint-Nazaire victime d’une [cyberattaque]](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-pays-countries-attack-2024-885x690.jpg)
![Image Une vulnérabilité identifiée dans la [billetterie du PSG]](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-breach-faille-2024-885x690.jpg)
Les 5,4 millions de comptes mis en vente au mois d’août n’étaient que la partie émergée de l’iceberg.
Le site d’informations Bleeping Computer a révélé, fin novembre 2022, la mise en ligne sur le dark web des données de 5,4 millions de comptes Twitter. Elles ont été mises en vente en août 2022 et au même moment, un chercheur en sécurité a montré que la faille dans l’API du réseau social avait été exploitée par d’autres pirates informatiques. Ils avaient ainsi récupéré plusieurs dizaines de millions de compte.
Révélée par une campagne de bug bounty d’HackerOne (et corrigée depuis), cette faille dans l’API de Twitter permettait de soumettre des numéros de téléphone et des adresses électroniques afin de récupérer l’identifiant Twitter associé.
Le pirate informatique Pompompurin a reconnu avoir exploité la vulnérabilité, en décembre 2021, pour extraire des données comportant, outre des informations publiques (identifiants Twitter, noms, noms de connexion, lieux et statuts vérifiés) les numéros de téléphone et/ou les adresses mails de 5,4 millions de comptes. Données qu’il avait mises en vente en août 2022 pour 30 000 dollars.
Le 24 novembre 2022, Pompompurin a mis en ligne gratuitement l’archive complète, tout en indiquant qu’il détenait aussi les données de 1,4 million de comptes Twitter suspendus, aspirées grâce à une autre API.
Au même moment, le chercheur en cybersécurité Chad Loger a identifié un autre jeu de données, beaucoup plus important (plusieurs dizaines de millions de comptes Twitter), mis en vente sur le dark net, issu de l’exploitation de la même faille par d’autres pirates.
« Je viens de recevoir la preuve d’une violation massive des données de Twitter affectant des millions de comptes Twitter dans l’UE et aux États-Unis. J’ai contacté un échantillon des comptes concernés et ils ont confirmé que les données compromises sont exactes », a indiqué Chad Loder sur Twitter, avant de voir son compte suspendu.
Le chercheur a ensuite transmis à Bleeping Computer un extrait de cette archive, contenant 1 377 132 numéros de téléphone d’utilisateurs en France. Le site spécialisé a pu vérifier l’authenticité de tous ceux qu’il ait parvenu à joindre.