Dans ce qui peut s'avérer comme l'une des plus grandes violations de données sur Twitter, des éléments de comptes de 400 millions d'utilisateurs de Twitter ont été mis en vente sur le dark web. La révélation intervient un jour après que la Commission irlandaise de protection des données (DPC) a annoncé une enquête sur une fuite de données Twitter antérieure qui avait touché plus de 5,4 millions d'utilisateurs. La première brèche a été découverte fin novembre. Selon Alon Gal, co-fondateur et CTO de la société israélienne de renseignement sur la cybercriminalité, Hudson Rock, les données ont probablement été obtenues à partir d'une vulnérabilité d'API permettant au cybercriminel d'interroger n'importe quel e-mail ou téléphone et de récupérer un profil Twitter. La base de données contient énormément d'informations, parmi lesquelles des e-mails et des numéros de téléphone d'utilisateurs de haut niveau, a noté Alon Gal sur son post LinkedIn. C'est une nouvelle qui risque de faire encore plus de tord à Elon Musk et ses quelques équipes restantes. Dans son message publié sur Breach Forums, sorte de marketplace souvent utilisée pour vendre des données obtenues illégalement, le pirate a ainsi indiqué que les données de célébrités, personnalités politiques, entreprises et particuliers étaient en sa possession. « Je vends des données de +400 millions d'utilisateurs Twitter uniques qui ont été extraites via une vulnérabilité. Ces données sont complètement privées et comprennent des e-mails et des numéros de téléphone de célébrités, de politiciens, d'entreprises, d'utilisateurs normaux et de nombreux noms d'utilisateur OG et spéciaux», se targue le pirate. « Twitter ou Elon Musk si vous lisez ceci, vous risquez déjà une amende RGPD de plus de 5,4 millions suite à une violation de données. Imaginez l'amende que vous risquez pour 400 millions d'utilisateurs touchés. Votre meilleure option pour éviter de payer 276 millions de dollars d'amendes, pour violation du RGPD comme Facebook l'a fait (en raison de 533 millions concernés), est d'acheter ces données exclusivement», a-t-il menacé. La publication, apparemment remarquée pour la première fois par la société israélienne de cyber-renseignement Hudson Rock, comprend des adresses e-mail privées présumées de trois douzaines de personnalités bien connues, dont la représentante démocrate de New York, Alexandria Ocasio Cortez, le fondateur de la crypto-monnaie Ethereum Vitalik Buterin et le journaliste sur la cybersécurité Brian Krebs. La publication comprend également un lien vers une feuille de calcul contenant un millier d'enregistrements, dont une poignée appartient à des institutions publiques et dont les adresses e-mail répertoriées, semblent authentiques.
