Twitter a récemment mené une enquête sur la vente d’une base de données comprenant 200 millions de données d’abonnés sur un forum en ligne. Dans un communiqué, la société a déclaré qu’elle n’a trouvé aucune preuve d’exploitation d’une vulnérabilité dans ses systèmes, contrairement à une fuite de données ayant touché 5,4 millions d’abonnés en janvier 2022. Cette fuite avait été confirmée par Twitter qui avait alors indiqué qu’elle avait été causée par une vulnérabilité dans ses systèmes.
Violation twitter
Selon Twitter, les données vendues sur le forum en ligne sont probablement une collection d’informations déjà disponibles publiquement en ligne par le biais de différentes sources. Cependant, la société n’explique pas comment le cybercriminel à l’origine de la fuite de données a réussi à relier avec précision les adresses e-mails de la fuite de données aux comptes des utilisateurs concernés. Il est donc possible que ces données aient été obtenues par scraping ou par d’autres méthodes de collecte de données.
Twitter a également précisé que les données vendues ne contenaient pas de mots de passe ou d’informations pouvant entraîner la compromission de mots de passe. Cependant, ces données pourraient être utilisées pour des campagnes de phishing ou de spam ciblées en utilisant les informations de profil des utilisateurs, comme leur nom, leur adresse e-mail ou leur lieu de résidence.
En ce qui concerne les mesures prises par Twitter suite à cette affaire, la société indique qu’elle est en contact avec les autorités de protection des données et d’autres régulateurs dans plusieurs pays pour fournir des détails supplémentaires concernant « les incidents présumés ». Il est important de noter que Twitter s’est déjà fait condamné en 2020 par le DPC irlandais à 450 000€ d’amende pour ne pas avoir notifié un incident dans le délai de 72 h prévu par le RGPD. Il est donc probable que cette affaire attirera l’attention des autorités réglementaires et pourrait entraîner de nouvelles sanctions pour la société.