Have i been pwned ? Fuites de données des plateformes Deezer et twitter, un combo gagnant

janvier 7, 2023janvier 7, 2023 Fidel Plume

Ah, les réseaux sociaux, les plateformes d’échanges, d’écoute de musique et les différentes applications que nous installons sur nos « smartphones », quel bonheur. Oui sauf que pour utiliser ces outils vous laissez de très nombreuses données consciemment, ou presque. Avez-vous pris le temps de lire les accès que vous autorisez en installant une application ? Un système d’exploitation ? Non, je suis d’accord c’est vraiment barbant de tout consulter, en plus c’est en petit caractère…

Si vous n’avez jamais reçu de courriel de la part du site « Have i been Pwned » tant mieux. J’ai eu une indication de leur part dernièrement. Elle fait suite à la fuite d’informations de la plateforme française d’écoute de musique en streaming, Deezer. L’incident date de 2019, les données ainsi dérobées et mises en vente représentent 257 829 254 personnes, quasiment quatre fois la population française.

capture d'écran d'un hacker vendant des informations volées — Les données proviendraient de la France pour 46,2 millions d’utilisateurs, le Brésil (37,1), la Grande-Bretagne (15,3), l’Allemagne (14,1), le Mexique (11,1), la Colombie (9,0), la Turquie (6,9), les États-Unis (6,4), l’Italie (5,0) et le Guatemala (4,4). (Crédits : Restore-Privacy.com)

Ainsi les informations exposées sont :

Les noms et prénoms
Les dates de naissance
Les adresses électroniques
Sexe
Données de localisation (ville et pays)
Date d’adhésion
ID de l’utilisateur

Capture d'une alerte sur have i been pwned — Ce qui est intéressant est de voir les différentes failles. Ainsi des données personnelles se retrouvent dans une fuite de 593 millions d’e-mails en 2016, en janvier 2019, elles font partie des 2,7 milliards avec 773 millions d’adresses courriel uniques, et en 2020 une exposition pour 70 millions d’individus. (Crédits : Haveibennpwned)

200 millions d’adresses e-mails

Un autre réseau, qui fait parler de lui depuis son rachat est twitter. Cette fois, une fuite, suite à un acte malveillant, de deux cents millions d’e-mails d’utilisateurs du réseau était publiée. Au commencement, l’exploit d’une vulnérabilité de l’API Twitter : elle permettait aux utilisateurs de saisir des courriels et des numéros de téléphone pour confirmer s’ils étaient associés à un identifiant Twitter. Par la suite, ils ont récupéré par une autre API les données publiques de Twitter relatives à l’identifiant. Ce qui a permis de créer des profils d’utilisateurs de Twitter. À quelles fins ? Usurper d’autre identité ? Propagande ? Phishing ? Ransomware ?

Au final, en épurant, supprimant les espaces, combinant les fichiers, 209 595 668 enregistrements apparaissent. « ***L’analyse des dates des fichiers originaux et des dates de création des comptes suggère fortement que ces données ont été collectées entre début novembre 2021 et le 14 décembre 2021*** », relate une personne après étude des sources.

« Bien que Twitter ait corrigé cette faille en janvier 2022, plusieurs acteurs de la menace ont récemment commencé à divulguer gratuitement les ensembles de données collectées il y a plus d’un an », explique Lawrence Abrams pour BleepingComputer.