Des pirates ont pu voler les données de plus de 200 millions d’utilisateurs Twitter(nouvelle fenêtre) et ont publié la base de données sur un forum de piratage début janvier 2023. Ces informations comprennent les adresses e-mail et les identifiants Twitter, permettant aux gens de potentiellement identifier des comptes Twitter pseudonymes.
Les experts pensent que cette liste est une version améliorée d’une base de données similaire qui a été signalée en décembre 2022, contenant environ 400 millions d’identifiants Twitter(nouvelle fenêtre) et des e-mails associés.
Bien que Twitter nie que ces détails de compte aient été volés(nouvelle fenêtre) en « exploitant une vulnérabilité de [ses] systèmes », Troy Hunt, le créateur de haveibeenpwned.com, le site qui vous permet de vérifier si vos données ont été exposées dans une fuite, a souligné que cela semble être un déni formulé avec soin :
Twitter fait maintenant face à un recours collectif(nouvelle fenêtre) pour son refus de reconnaître cet incident comme une violation.
M. Hunt a également rapporté que les comptes e-mail prétendument issus de la fuite semblent légitimes.
Il semble probable que ces détails de compte ont été obtenus en tirant parti d’un défaut de l’API que Twitter a reconnu en août 2022(nouvelle fenêtre). La société a été informée en janvier 2022 qu’elle avait introduit un bogue dans une mise à jour en juin 2021 qui permettrait à quiconque ayant saisi un numéro de t�éléphone ou une adresse e-mail de voir quel était l’identifiant Twitter correspondant (si un existait).
À l’époque, Twitter prétendait que la fuite exposait environ 5,4 millions d’identifiants Twitter(nouvelle fenêtre) et leurs e-mails et numéros de téléphone correspondants.
Comment cette fuite pourrait-elle vous affecter ?
Il n’y a aucune preuve que des pirates aient accédé aux mots de passe des utilisateurs ou à leurs DMs. Cependant, les attaquants peuvent désormais lier des adresses e-mail et des numéros de téléphone publiquement connus à des comptes Twitter, ce qui leur permet de potentiellement identifier et exposer des utilisateurs de Twitter. Cela leur permettra également d’écrire des attaques de phishing beaucoup plus convaincantes.
Lors de l’investigation de la fuite, M. Hunt a découvert que 98 % des e-mails dans la base de données Twitter avaient déjà été exposés(nouvelle fenêtre) dans une autre fuite de données. Les pirates ont simplement pris les adresses e-mail exposées et les ont saisies dans Twitter pour ajouter un autre point de données aux bases de données criminelles en pleine expansion.
Comment se remettre de la fuite de données de Twitter
La première chose à faire est d’aller sur haveibeenpwned.com(nouvelle fenêtre) pour voir si votre adresse e-mail ou votre numéro de téléphone a été exposé dans la fuite. Si aucune n’apparaît, vous n’avez probablement rien à craindre.
Si votre e-mail apparaît, vous devriez le supprimer de votre compte Twitter et de tout autre compte que vous utilisez. Vous devriez également vous attendre à une augmentation du volume et de la qualité des e-mails de phishing que vous recevez.
Si votre numéro de téléphone apparaît, vous devriez le dissocier de votre compte Twitter et de tous les autres comptes que vous utilisez. Vous pourriez également recevoir des appels téléphoniques malveillants et des messages texte (smishing) essayant de vous tromper pour exposer des informations sensibles.
Même si votre numéro de téléphone n’apparaît pas dans la base de données Have I Been Pwned, si vous utilisez votre numéro de téléphone pour une authentification à deux facteurs (A2F), vous devriez arrêter. L’authentification à deux facteurs par SMS est peu sécurisée et vous devriez passer à quelque chose de plus sûr, comme une application de mot de passe à usage unique basée sur le temps ou une clé de sécurité matérielle.
Comment vous protéger contre de futures violations
Bien que vous ne puissiez pas prévenir vous-même les fuites de données, vous pouvez réduire votre vulnérabilité aux fuites de données en général. Les étapes suivantes empêcheront les pirates d’accéder à des informations vraiment sensibles ou de pouvoir utiliser les données qu’ils ont volées pour accéder à vos autres comptes :
- Activez l’authentification à deux facteurs sur chaque compte possible. Cela empêche les pirates d’accéder à votre compte même s’ils ont votre mot de passe et votre e-mail. Cela peut être une dernière ligne de défense cruciale.
- Utilisez des mots de passe forts et uniques pour chaque compte. Si vous utilisez un mot de passe différent pour chaque compte, une violation ne pourra jamais affecter plus que ce compte, limitant ainsi les dommages potentiels et le temps de récupération. Vous devriez également utiliser un gestionnaire de mots de passe sécurisé et open-source pour suivre tous vos mots de passe.
- Utilisez un alias d’adresse e-mail unique pour chaque compte. En utilisant la même logique que pour les mots de passe uniques, les pirates ne peuvent pas identifier vos comptes ou vous suivre à travers les plateformes si vous créez un alias d’adresse e-mail unique pour chaque compte. SimpleLogin de Proton Mail(nouvelle fenêtre) rend la création et la gestion de dizaines d’aliases d’adresses e-mail simple. Si vous avez utilisé SimpleLogin pour créer un alias pour votre compte Twitter, vous ne seriez pas à risque d’être identifié et pourriez facilement désactiver cet alias pour éviter des attaques de phishing.
- Ne partagez pas d’informations sensibles (quand vous pouvez l’éviter). Il est temps d’être réaliste et d’admettre qu’il y a de bonnes chances que tout ce que vous partagez avec une entreprise en ligne puisse à un moment donné être exposé. Mais une entreprise ne peut pas exposer quelque chose dans une fuite que vous ne lui avez jamais donné au départ. Lorsque c’est possible, évitez de partager quoi que ce soit de plus qu’un pseudonyme et un alias d’adresse e-mail lorsque vous créez un compte.
Ces étapes aideront à réduire votre exposition à des violations potentielles. Malheureusement, il y a très peu de choses que vous pouvez faire pour protéger les informations que les organisations ont déjà, c’est pourquoi nous vous recommandons de n’utiliser que des organisations ayant de bons antécédents en matière de sécurité. Cela devient de plus en plus difficile chaque année alors que de plus en plus d’entreprises subissent des violations et des piratages. Cependant, vous devriez rechercher des organisations qui utilisent du code open-source et ont une communauté active de contributeurs en matière de sécurité. Cela montre que ces entreprises priorisent la sécurité des données et sont prêtes à faire face à l’examen des experts pour garder vos informations en sécurité.
Vous pouvez également pousser les gouvernements à appliquer des lois sur la confidentialité des données et à punir les violations de données. Twitter est toujours sous un décret de consentement(nouvelle fenêtre) concernant les violations de données de 2011. Il aurait dû détecter que des comptes d’utilisateurs étaient en train d’être extraits et résoudre le problème plus rapidement. Malheureusement, les violations de données continueront à se produire tant qu’elles ne seront pas rendues trop coûteuses à ignorer.
