Un nouveau problème à gérer pour Elon Musk. Une annonce du 23 décembre sur le forum de vente de données le plus populaire aurait dû attirer son attention. Un utilisateur qui s’appelle Ryushi prétend avoir des données de 400 millions de comptes Twitter. Il y aura un mélange de données publiques (noms d’utilisateur, dates de création de compte, etc.) et de données personnelles (adresses e-mail et leurs numéros de téléphone).
sans payer de prix L’escroc avait l’intention de vendre la base de données à un seul acheteur et, d’un ton menaçant, a suggéré à Elon Musk de devenir l’acheteur pour éviter les ennuis. En jeu – la réputation du réseau social ; Mais aussi une potentielle amende des régulateurs européens. Le propriétaire milliardaire du réseau social n’hésite pas à répondre au moindre commentaire sur sa plateforme, mais ne s’est pour l’instant pas prononcé sur le sujet malgré plusieurs attaques.
Numéros de téléphone compromis populaires
Alon Gal, fondateur de Hudson Rock, un expert largement suivi des violations de données, se souvient sur son compte LinkedIn. À l’heure actuelle, il n’est pas possible de confirmer pleinement que les données de 400 millions d’utilisateurs existent réellement dans la base de données. Twitter. » En effet, Beaucoup parce que les menteurs dans ce milieu ne disent que leur parole. Contrairement au commerce formel, Il n’y a aucune protection si l’acheteur est induit en erreur sur le produit.
Souvent, Les gangsters rusés rassemblent souvent des informations qui ont déjà été divulguées pour évaluer leur offre. Ce n’est pas parce que les mêmes données semblent appartenir à Twitter que l’entreprise est responsable de la fuite : il n’est pas rare que des sous-traitants divulguent les données de leurs clients après un incident de cybersécurité.
convaincre les membres du forum que ses commentaires sont corrects ; Ryushi a joint à son annonce 1 000 exemples de pratiques courantes dans cet environnement. Il comprend des données de célébrités telles que le chanteur Shawn Mendes et le basketteur Stephen Curry ; Les données de grandes organisations comme la NASA et le républicain Donald Trump Jr. et des informations sur des personnalités politiques telles que la démocrate Alexandria Ocasio-Cortez.
L’affichage de ces noms bien connus permet aux deux criminels d’attirer l’attention sur leurs publicités et de faire monter les enchères. Bonne raison : La présence d’informations sur des personnalités riches et influentes augmente le potentiel des hackers à exploiter la base de données. Mais Ryushi n’a pas encore répondu à la proposition d’Elon Musk. Ryushi a déjà un acheteur.
Le chantage a du bon.
” Twitter ou Elon Musk si vous lisez ceci. Vous pourriez déjà être condamné à une amende pour avoir enfreint le GDPR après la fuite de 5,4 millions de données plus tôt cette année. Imaginez le montant des amendes pour une violation affectant 400 millions d’utilisateurs, soit 75 fois plus. “, a-t-il écrit. Sur un ton menaçant, Facebook a perçu fin novembre une amende de 265 millions d’euros auprès de l’autorité irlandaise des données pour avoir enfreint le RGPD, a rappelé l’imbécile. L’une des fonctionnalités du réseau social permettait aux hooligans de siphonner données, notamment les numéros de téléphone de 533 millions d’utilisateurs en 2019. Ces données ont été retrouvées dans la nature en 2021, provoquant à nouveau un nouveau scandale.
Alors Ryushi propose au milliardaire d’acheter lui-même la base de données pour étouffer l’affaire. Si l’homme d’affaires s’exécute, le pirate supprimera son message et promettra de ne plus jamais revendre la base de données. ” Par conséquent, vous protégerez de nombreuses célébrités et personnalités politiques. “Il a dit avant de publier une longue liste d’actes malveillants qu’ils pourraient cibler à cause des données.
En termes précis, Les numéros de téléphone et les e-mails de la base de données peuvent être utiles pour envoyer des tentatives de phishing – car les criminels connaîtront l’identité des destinataires – dans le but d’inciter leurs victimes à installer des logiciels malveillants ou à voler leurs informations d’identification. En d’autres termes, les informations contenues dans la base de données ne suffisent pas à voler des comptes (Twitter, Instagram…) ou de l’argent aux personnes concernées, mais elles donnent un point de départ aux fraudeurs.
Pour terminer sa bague, Ryushi insulte sa dignité. ” Si ces données ont fuité, c’est la faute de l’entreprise (…). Les influenceurs ne vous font plus confiance ; Ce serait une gêne pour les projets en cours pour Twitter. », insiste-t-il. Elon Musk, qui a été lâché par les annonceurs sur Twitter et qui a du fil à retordre avec les actionnaires de Tesla, n’a pas besoin d’un nouveau scandale. Même s’il peut blâmer l’erreur de l’administration précédente.
Une fuite datée de janvier
En effet Ryushi affirme avoir récupéré les données début 2022 en raison de la vulnérabilité déjà évoquée. En juillet, un autre individu a mis en vente une base de données similaire, mais avec 5,4 millions de comptes, pour 30 000 $. À l’intérieur se trouvent principalement des données publiques, avec de nombreux numéros de téléphone et adresses e-mail.
Les données, datées de décembre 2021, ont été collectées en raison d’un bogue dans l’API Twitter – un outil qui permet aux sites Web et aux réseaux sociaux de récupérer des données publiques (par exemple, à des fins publicitaires ou pour intégrer des tweets). Mais une faille courante a permis aux pirates de récupérer l’identifiant Twitter associé en envoyant des numéros de téléphone et des adresses e-mail aléatoires à l’API. Grâce à cet identifiant (qui prend la forme d’une séquence de chiffres), les criminels peuvent récupérer diverses informations publiques sur le compte à l’aide de l’API. En d’autres termes, l’API ne fournit pas directement des données personnelles, mais permet de les découvrir indirectement. Un pirate informatique éthique a déposé une plainte auprès de Twitter via le programme de primes de bugs de Hacker One, et cela a été immédiatement corrigé.
Un mois après la vente des données, le réseau social a confirmé l’erreur et sa connexion à la base de données. Pour terminer, La base de données de 5,4 millions de comptes a été publiée gratuitement par quelqu’un d’autre en septembre. Puis à nouveau fin novembre. Bleeping Computer a ensuite révélé que plusieurs acteurs voyous avaient exploité la faille pour voler des informations personnelles, et Ryushi était probablement l’un d’entre eux. Selon Alon Gal, Seules 50 des 1 000 entrées de l’échantillon se trouvaient dans la base de données de 5,4 millions d’enregistrements. Comment cracker un acheteur ?
