Un pirate prétend avoir collecté plus de 400 millions de données d’utilisateurs uniques avec une vulnérabilité d’API désormais corrigée sur Twitter en 2021. Tel que rapporté par Ordinateur qui bipel’acteur menaçant nommé « Ryushi » sur le forum de piratage Breached demande 200,00 $ pour une vente exclusive.

Ils ont déjà averti le Twitter d’Elon Musk qu’ils « devraient acheter les données avant que cela n’entraîne une lourde amende en vertu de la loi européenne sur la confidentialité GDPR ».

« Twitter ou Elon Musk si vous lisez ceci, vous risquez déjà une amende GDPR de plus de 5,4 millions d’infractions en imaginant l’amende de 400 millions d’utilisateurs source d’infraction », a écrit Ryushi dans un message sur le forum. « Votre meilleure option pour éviter de payer 276 millions de dollars d’amendes pour violation du GDPR comme Facebook l’a fait (en raison de 533 millions d’utilisateurs supprimés) est d’acheter ces données exclusivement. »

Dans le message, le pirate explique comment ces données peuvent être utilisées pour des attaques de phishing et autres escroqueries. Ryushi dit qu’ils ont pu collecter des données Twitter publiques et privées, telles que les adresses e-mail, les noms, les noms d’utilisateur, le nombre d’abonnés, la date de création et les numéros de téléphone des utilisateurs. Alors que la plupart de ces données peuvent être trouvées en ligne, les numéros de téléphone et les adresses e-mail sont des informations privées.

Ryushy a acquis les données de 37 célébrités, dont Alexandria Ocasio-Cortez, Donald Trump JR, ​​Mark Cuba, Kevin O’Leary et Piers Morgan, Ordinateur qui bipe rapports. Le pirate informatique a déclaré à la publication qu’il « tentait de vendre les données Twitter exclusivement à une seule personne/Twitter pour 200 000 $ et qu’il supprimerait ensuite les données. Si un achat exclusif n’est pas effectué, ils vendront des copies à plusieurs personnes pour 60 000 $ par vente.

Arrière plan

Le pirate informatique a déclaré à la publication qu’il avait recueilli ces données en exploitant une vulnérabilité précédemment associée à une violation de données de 5,4 millions d’utilisateurs et corrigée en janvier 2022. Bleeping Computer a pu vérifier deux des profils Twitter divulgués. Hudson Rock, analyste d’une société de renseignement sur les threads, a déclaré que les échantillons divulgués « semblent légitimes » bien qu’il n’ait pas pu « vérifier pleinement qu’il y a bien 400 000 000 d’utilisateurs dans la base de données ».

Le pirate informatique a déclaré qu’il avait essayé de contacter Twitter mais qu’il n’avait pas reçu de réponse. Si Twitter n’achète pas ces données, cela apportera probablement un autre problème à l’entreprise d’Elon Musk – même si cette fois, il n’en est pas la cause.