Voilà qui ne devrait pas arranger les affaires de Twitter. Des informations personnelles concernant des millions de comptes inscrits sur le réseau social ont été découvertes tout récemment. Chad Loder, un spécialiste en cybersécurité, a épinglé le réseau social en prouvant qu’un défaut de sécurisation des données datant de 2021 a permis à des hackers malveillants de mettre la main sur un bon paquet de données personnelles, notamment des numéros de téléphone liés à certains comptes Twitter.
Une faille de sécurité ancienne
La faille qui a permis d’exporter ces données était connue depuis de nombreux mois et avait déjà fait les gros titres en juillet 2022 quand des informations personnelles concernant 5,4 millions de comptes Twitter avaient été vendues pour 30 000 $ sur un forum. À l’époque, une faille dans l’interface de programmation de Twitter avait été pointée du doigt comme ayant permis ce piratage massif. Mais alors qu’on pensait que la faille avait été rapidement corrigée, elle s’avère bien plus sérieuse que prévu.
Au moins un autre pirate malveillant — en plus de celui qui a vendu des données en juillet dernier — est parvenu à exploiter cette faille et à extraire des millions de numéros de téléphone. D’après Bleeping Computer — qui a eu accès à une partie des données —, au moins 1,3 million de numéros de téléphone français sont contenus dans ce leak. Chad Loder, qui a d’abord partagé sa découverte sur Twitter avant de voir son compte suspendu par les équipes de modération, explique que la plupart des personnes ayant activé l’option « permettre aux personnes qui ont votre numéro de téléphone de vous trouver sur Twitter » sont concernées par la faille.
Une nouvelle polémique chez Twitter
« D’après ce que j’ai pu vérifier, les données Twitter qui ont fait l’objet d’une faille couvrent, au minimum, les numéros de téléphone pour plusieurs codes pays dans l’UE, et certains codes régionaux aux États-Unis. L’ensemble de données comprend des comptes vérifiés, des célébrités, des politiciens de premier plan et des agences gouvernementales » a précisé le spécialiste en cybersécurité. Sur Mastodon, Chad Loder a partagé une capture d’écran montrant des lignes et des lignes de numéros de téléphone +33 (l’indicatif français) liés à des comptes Twitter.
Si, techniquement, la faille et l’exploitation des données ont eu lieu avant la reprise en main de Twitter par Elon Musk, cette découverte ne risque pas d’arranger les affaires de l’homme d’affaires sud-africain. La suspension du compte Twitter de Chad Loder montre bien que le sujet est particulièrement sensible au moment où le site est en train de perdre de nombreuses équipes responsables de la sécurité du site. Cette fuite fait écho aux déclarations de Peter « Mudge » Zatko qui étrillait récemment la sécurité du site et pourrait bien éclabousser aussi son nouveau propriétaire.