400 Millions de comptes twitter ? Vraiment ?

Ce que l’on sait sur la violation de données le 26 décembre 2022

Le 24 décembre nous vous annoncions la découverte sur internet d’une sorte de courrier d’un pirate s’adressant à twitter et Elon Musk afin de leur demander une rançon pour la non divulgation d’informations sur 400 millions de comptes twitter suite à une violation de donnée twitter :

• Un pirate revendique la possession d’une base de données comprenant les informations personnelles de 400 millions d’abonnés de Twitter,
• Le pirate, qui se fait appeler Ryushi, affirme que ces informations ont été obtenues plus tôt en 2022 par le biais d’une faille d’un API,
• Le pirate a fourni un échantillon de 1 000 comptes appartenant à des personnalités ou des organisations pour prouver ses dires.

Il existe au total 1.3 milliard de comptes Twitter.

Au troisième trimestre 2021, Twitter comptait 211 millions d’utilisateurs actifs quotidiens monétisables (mDAU) et  465 millions de membres actifs dont 229 millions sont monétisables par jour en avril 2022.

stadia.com

Le 27 décembre 2022, violation de données twitter donne des informations complémentaires

• Twitter a indiqué que l’échantillon de 1 000 comptes faisait référence à une base de données découverte en août comprenant 5,4 millions de données utilisateurs
• Cependant, le co-fondateur de Hudson Rock, Alon Gal, persiste à penser qu’il s’agit d’une autre base de données
• Si une telle base de données de 400 millions de comptes était confirmée, Twitter aurait l’obligation de le signaler à la CNIL et de prendre des mesures pour protéger les données des utilisateurs concernés
• Selon la loi française sur la protection des données personnelles (RGPD), les entreprises sont tenues de signaler toute violation de données dans un délai de 72 heures après en avoir pris connaissance
• Si Twitter était au courant de cette violation de données depuis plus de 72 heures et qu’elle n’a pas encore été signalée, elle pourrait être passible d’une amende de la part de la CNIL

Dans sa lettre le pirate propose à twitter et Elon Musk de payer pour éviter qu’il y ai une sanction sur la base du RGPD (GDPR). Ce pendant, même si une entreprise paye une rançon pour empêcher la divulgation de données piratées, cela ne signifie pas qu’il n’y a pas eu de violation de données. En effet, le fait que des données aient été compromise et accédées de manière non autorisée constitue déjà une violation de données, quelle que soit la suite des événements.

Payer une rançon peut être considéré comme une solution temporaire pour éviter la divulgation de données, mais cela ne résout pas le problème de la violation de données elle-même et ne garantit pas que de telles violations ne se produiront pas à l’avenir. Il est recommandé de mettre en place des mesures de sécurité solides et de suivre les bonnes pratiques de sécurité pour éviter ce genre de situations.

Point au 28 décembre 2022 sur la violation de données twitter

• Il est important de noter que la véracité de cette affaire n’a pas encore été confirmée et que toute information à ce sujet doit être prise avec prudence
• Si une violation de données de 400 millions de comptes de Twitter était confirmée, il serait crucial pour Twitter de la confirmer rapidement et de prendre des mesures pour protéger les données de ses utilisateurs
• En attendant, il est recommandé aux utilisateurs de Twitter de continuer à être vigilant et de protéger leurs données personnelles en utilisant des mots de passe sécurisés et en étant attentifs aux messages ou aux offres suspectes.

En cas de violation de données à grande échelle, une entreprise comme Twitter devrait informer les autorités compétentes et les personnes concernées dans chaque pays où elle opère. Dans l’Union européenne, il existe des règles communes sur la protection des données à caractère personnel et la notification des violations de données, qui sont prévues par le Règlement général sur la protection des données (RGPD).

Selon le RGPD, une entreprise doit notifier toute violation de données à caractère personnel à l’autorité de protection des données compétente dans l’État membre où elle a son siège ou où la violation a eu un impact significatif sur les personnes concernées. Si la violation de données concerne un nombre important de personnes, l’entreprise doit également informer les personnes concernées de manière appropriée et sans délai.