Posté le janvier 1, 2023 à 5:07

TWITTER DOIT FAIRE FACE À UNE RÉÉVALUATION APRÈS QU’UN HACKER A AFFIRMÉ DÉTENIR LES DONNÉES DE 400 MILLIONS DE COMPTES

Le mois de janvier 2023 a débuté par un scandale impliquant Twitter. Un hacker a affirmé détenir les données de 400 millions de comptes. Selon le hacker, il peut soit supprimer les données, soit les rendre. En échange d’un résultat plus favorable, le hacker exige un paiement de 200 000 dollars.

Pour l’instant, le hacker est seulement connu sous le nom de Ryushi, et il a demandé un paiement de 200 000 dollars en échange des données. Selon certains rapports, les données pourraient même inclure des détails impliquant certaines célébrités.

Compte tenu de la taille des données volées, il s’agit d’un problème de sécurité majeur, qui a conduit la Commission de protection des données (DPC) Irlandaise à s’intéresser à la situation. La DPC a déclaré qu’elle avait l’intention d’évaluer la conformité de Twitter aux règles de protection des données et de déterminer si l’entreprise respecte les réglementations en vigueur.

Pour l’instant, Twitter lui-même n’a pas répondu à la revendication du hacker, et n’a pas dit ce qu’il comptait faire à propos de cette demande.

Que contiennent réellement ces données ?

Selon le hacker, les données qu’il a volées sont très nombreuses et comprennent des informations personnelles, notamment des e-mails et des numéros de téléphone, dont certains appartiennent à de grandes célébrités, des hommes politiques et d’autres personnalités publiques. Il convient de préciser que la taille du vol n’a pas été confirmée, si ce n’est par le hacker lui-même.

Jusqu’à présent, ils en ont communiqué un petit échantillon au public, afin de prouver que l’affirmation est authentique. Selon la BBC, les données publiées comprennent des informations appartenant à la députée Américaine Alexandria Ocasio-Cortez. Les rapports indiquent également que les données comprennent des informations appartenant au radiodiffuseur, Piers Morgan. Morgan a également eu son compte Twitter piraté récemment, donc le fait que ses informations soient impliquées pourrait ne pas être une grande surprise.

La vente de données piratées a été initialement signalée par la société de renseignement sur la cybercriminalité, Hudson Rock. Le directeur technique de la société a déclaré qu’il existe de nombreux indices qui confirment les affirmations du hacker, en dehors de l’échantillon lui-même.

Le directeur de la technologie a aussi fait allusion à une autre violation constatée en mars de l’année dernière, mais il a précisé que ces données semblent être le produit d’une autre violation de sécurité. La violation de mars a entraîné la publication de données appartenant à 5,4 millions de comptes Twitter. Toutefois, si l’affirmation du hacker est correcte, le vidage des données de mars pourrait ne représenter qu’une petite partie des données volées cette fois-ci.

Le hacker s’est adressé à Twitter et à son PDG

Selon le hacker, les données volées ont été collectées grâce à un problème dans le système de Twitter. Ils ont pu profiter de ce problème pour percer les défenses de Twitter. La faille dans le système permet à des programmes informatiques de se connecter à la plateforme sociale.

Plus tôt, le 23 décembre, le DPC a déclaré qu’il enquêtait sur une violation de Twitter. On ignore s’il s’agit de la même violation que celle sur laquelle le DPC enquêtait (et pourrait encore enquêter). Cependant, selon le hacker, il est bien conscient des dommages que la vente ou la divulgation de ces données peut causer.

Jusqu’à présent, nombreux sont ceux qui ont tenté de joindre Twitter, ainsi qu’Elon Musk, le nouveau PDG de l’entreprise. Jusqu’à présent, M. Musk a été très actif sur la plateforme, mais il n’a pas répondu aux tweets lui demandant un commentaire. L’une de ces demandes est venue du grand journaliste spécialiste de la cybersécurité, Brian Krebs, qui a fait remarquer que la violation avait probablement eu lieu avant même que Musk ait pris ses fonctions.

Hey @elonmusk, since you don't seem to have much a media/comms team anymore, can you address the apparently legitimate claim that someone scraped & is now selling data on hundreds of millions of Twitter accounts? Maybe it didn't happen on your watch, but you owe Twitter a reply.

— briankrebs (@briankrebs) December 27, 2022

Toutefois, le rapport de la BBC indique également que le CPD s’est engagé avec Twitter dans cette enquête. Quant au hacker, il a proposé à Twitter d’acheter les données « en exclusivité », afin d’empêcher toute autre personne de les obtenir.

Ryushi a même dit à Twitter et à Musk qu’ils risquaient une amende GDPR en raison de la violation de mars, les invitant à « imaginer l’amende de 400m d’utilisateurs source de violation. » Il a ajouté que la meilleure option pour Twitter d’éviter de payer 276 millions de dollars d’amende pour violation du GDPR (comme Facebook l’a fait) serait de verser 200 000 dollars à Ryushi directement.