Ce qui n’était encore qu’un soupçon hier s’est transformé en réalité : Twitter a bien été piraté – et pas qu’un peu.
Ce seraient pas moins de 400 millions de comptes qui auraient été touchés, rapporte le site spécialisé Bleeping Computer. Des données d’abord mises en vente sur un célèbre forum de pirates pour 200 000$, mais qui seraient désormais suspendues au bon vouloir du nouveau PDG de Twitter sous la forme d’une demande de rançon.
La menace du RGPD agitée sous le nez de Musk
Le hacker, qui se fait appeler Ryushi sur le forum informatique en question, écrit noir sur blanc dans un post accompagnant son larcin : « Twitter ou Elon Musk, si vous lisez ceci vous risquez déjà une amende RGPD pour la fuite de 5,4 millions [d’utilisateurs], imaginez le montant d’une amende pour 400 millions d’utilisateurs. »
Un avertissement faisant référence à une précédente fuite dont à été victime Twitter en janvier dernier, mais dont la même faille technique a aujourd’hui permis l’extraction des données de quelque 400 millions de comptes, clarifie Bleeping Computer. Contacté par le site, Ryushi confirme son souhait de ne vendre l’objet de son larcin qu’au réseau social pour 200 000$. Le cas échéant, il ou elle s’engage à supprimer entièrement l’archive contenant les données ces comptes concernés.
Dans l’éventualité d’un refus, il ou elle souhaite en faire des copies qui seront vendues pour 60 000$ à diverses personnes fréquentant le forum. Twitter risquerait également une très lourde amende de la part de l’Union Européenne pour avoir manqué à ses obligations en matière de cybersécurité. Le mois dernier, Meta a ainsi écopé d’une amende de 265 millions d’euros suite à la fuite des données de quelque 533 millions d’utilisateurs.
Un vol inquantifiable mais crédible
Sur le forum de pirates, Ryushi a partagé quelques informations sur les comptes Twitter faisant partie du lot. Parmi eux, on trouve notamment le compte de certaines personnalités comme Donald Trump, Alexandria Ocasio-Cortez, Kevin O’Leary et quelque 1 000 autres comptes qui ont été partagés afin d’accorder du crédit au piratage de Ryushi.
On sait de source sûre que les numéros de téléphone et adresses email associées aux comptes Twitter font partie des données récupérées par le pirate. Des données qui peuvent sembler anodines, mais qui pourraient permettre à des personnes mal intentionnées d’entamer des procédures d’usurpation d’identité ou de phishing de grande ampleur.
L’agence spécialisée dans la cybersécurité Hudson Rock a pu consulter une partie des données qui ont échappé à la vigilance de Twitter et confirme leur teneur. En revanche, il n’est pas encore possible pour elle de certifier que 400 millions de comptes sont bel et bien concernés.
Contactée par Bleeping Computer, Twitter n’a pas encore commenté cette affaire.