Fuite d’e-mails de 200 millions d’utilisateurs de Twitter : ce qu’il faut savoir et comment protéger vos informations

Twitter n’est pas étranger aux incidents de cybersécurité, comme le prouve le tristement célèbre piratage de la plateforme en 2020, lorsqu’un pirate s’est fait passer pour un membre du département informatique de l’entreprise et a dupé ses employés. 

Le géant des réseaux sociaux a récemment été de nouveau pris pour cible et, bien que les utilisateurs ne découvrent que maintenant toute la portée de la cyberattaque, des rapports indiquent que l’incident est lié à une faille de sécurité qui remonte à 2021.

Chronologie des faits

Une mise à jour du code de Twitter en juin 2021 a introduit une faille ou un bug dans l’API de l’application de Twitter (interface de programmation d’application), permettant aux pirates de relier les noms d’utilisateur aux adresses e-mails personnelles et aux numéros de téléphone associés. 

Dans une déclaration de Twitter en août 2022, la plate-forme a partagé les détails de la faille sécurité en informant les utilisateurs qu’entre juin 2021 et janvier 2022, toute personne pouvait soumettre une adresse e-mail ou un numéro de téléphone aux systèmes de Twitter afin de révéler le nom d’utilisateur associé à ce numéro de téléphone ou cette adresse e-mail. La plate-forme affirme qu’à l’époque, il n’y avait pas de preuves suggérant que les pirates avaient utilisé ces informations de manière malveillante.

En juillet 2022, Twitter a cependant appris que des acteurs de la menace proposaient de vendre les informations recueillies lors de cette intrusion de 2021. 

Bien que le bug de l’API de Twitter ait été corrigé en janvier 2022, les adresses e-mail et les numéros de téléphone des utilisateurs concernés ont circulé dans des forums. Une base de données de 5,4 millions d’adresses e-mail a circulé au cours de l’été 2022 et, avant d’être mise à disposition gratuitement, celle-ci a été mise en vente pour 30 000 €. D’après WIRED, l’incident fait l’objet d’une enquête menée par la Commission irlandaise de protection des données et la Commission fédérale du commerce des États-Unis), qui essaient de déterminer si Twitter a violé un accord visant l’amélioration de la confidentialité des utilisateurs. Un utilisateur de Twitter a engagé des poursuites contre la plate-forme suite à cette violation.

Le 4 janvier 2023, un forum cybercriminel, Breached, a publié plus de 200 millions d’adresses e-mail obtenues par grattage d’API, une base de données disponible pour un total de moins de 2 $.

Vos données ont plus de valeur que cela. Installez Dashlane pour surveiller votre e-mail sur le dark Web.

Les cybercriminels, qui n’ont pas encore été identifiés, ont exposé des centaines de millions d’adresses électroniques – l’ancien butin était de 5,4 millions de numéros de téléphone et d’adresses électroniques combinés, mais l’ensemble de données le plus récent comprend exclusivement des adresses électroniques. L’estimation initiale du nombre d’e-mails touchés était plus élevée, mais elle a été ramenée à 200 millions une fois les doublons supprimés. Cependant, le groupe de surveillance de la sécurité Bleeping Computer affirme avoir encore trouvé des doublons dans l’ensemble des données les plus récentes. 

Comment savoir si votre adresse e-mail a été exposée ?

Les utilisateurs qui ont une adresse e-mail séparée pour Twitter n’ont probablement pas été impactés par la fuite de données. Les pirates ont utilisé les données issues de violations précédentes et les ont entrées dans l’API non sécurisée de Twitter pour révéler les noms d’utilisateur leur étant associés. Cela signifie que toute adresse e-mail précédemment exposée, que ce soit par le piratage de Twitter ou d’autres violations, pouvait être incluse dans l’ensemble de données. 

Les utilisateurs peuvent saisir leurs adresses e-mail de travail dans le Business Breach Report (Rapport sur les failles de données de leur entreprise) pour savoir s’ils ont été compromis et à quel moment. 

Quel type d’information personnelle est affecté ?

Bien que les adresses électroniques soient les seules données exposées dans la dernière faille de sécurité chez Twitter, les cybercriminels ont pu relier les adresses électroniques à des données publiques, notamment des noms d’utilisateur, des noms et des profils de réseaux sociaux.

Ceci est particulièrement important pour les utilisateurs qui souhaitent rester anonymes sur Twitter, et les experts en cybersécurité prévoient d’éventuels cas de doxxing ou d’attaques de phishing ciblées. 

Mesures à prendre immédiatement si votre adresse électronique a été exposée :

Les utilisateurs affectés par la fuite de données doivent prendre ces mesures supplémentaires pour protéger leurs données personnelles :

1. Vous pourriez être la cible de tentatives d’hameçonnage. Actualisez vos connaissances sur comment identifier un phishing grâce à ces conseils
2. Remplacez le compte concerné par un nouveau mot de passe aléatoire. Nous vous recommandons d’utiliser un générateur de mots de passe sécurisé
3. Enregistrez votre nouveau mot de passe dans un gestionnaire de mots de passe chiffré tel que Dashlane.  
4. Activez la double authentification (2FA) sur votre compte Twitter – bien que les mots de passe n’aient pas été exposés à la fuite de données, la double authentification peut aider à se protéger contre des connexions non autorisées. 
5. Profitez de la Surveillance du dark Web de Dashlane et analysez le dark Web pour voir si d’autres comptes ont été impactés grâce à cet e-mail. Les clients de Dashlane peuvent configurer la Surveillance du dark Web pour un maximum de cinq adresses e-mails et être immédiatement avisés si leurs informations ont été exposées à une faille de sécurité.

Les violations de logiciels peuvent survenir, même pour les équipes de sécurité et de logiciels les plus avancées. Nous reconnaissons le travail acharné du département informatique de Twitter, qui s’efforce de résoudre l’incident.