Le hack a été réalisé en 2021 via l’exploitation d’une vulnérabilité d’API corrigée en janvier 2022. L'autorité irlandaise de protection des données personnelles a annoncé l'ouverture d'une enquête visant Twitter suite au piratage.
Un hacker prétendant avoir volé les données publiques et privées de 400 millions de profils utilisateurs de Twitter a demandé le paiement d'une rançon de 200 000 dollars ($) à Elon Musk. Les profils d'utilisateurs contiennent, les noms, les noms d'utilisateur, le nombre d'abonnés, la date de création du profil, mais aussi et surtout, les numéros de téléphone associés et des adresses e-mail. Des données strictement privées et facilement exploitables par des hackeurs.
Selon des informations de Bleeping Computer, qui a pu s’entretenir avec l’acteur malveillant qui se fait appeler « Ryushi », les données ont été mises en vente sur le forum de Breached. Le pirate a publié pour preuve de son méfait, des exemples de données pour trente-sept célébrités, journalistes et politiciens dont Donald Trump JR.
Chantage contre Elon Musk
Ryushi explique avoir collecté les données en 2021, en utilisant une vulnérabilité d’API corrigée depuis et qui avait déjà entraîné un leak au quel le hacker fait directement référence dans son message. « Twitter ou Elon Musk, si vous lisez ceci, vous risquez déjà une amende RGPD (Règlement général sur la protection des données ndlr) pour 5,4 millions de comptes Twitter, imaginez l'amende pour 400 millions d'utilisateurs ».
Le pirate a écrit que la « meilleure option » pour éviter de payer « 276 millions de dollars d'amendes pour violation du RGPD (...) est d'acheter ces données exclusivement. » Faute de quoi Ryushi vendra des copies à 60 000$ l'unité.
Manuel pour les hackers
Rysushi est également relié à un article dans lequel il explique les manières d'exploiter ces données pour mener des campagnes de phishing, des arnaques aux cryptomonnaies, ou encore des attaques par Compromission de messagerie (BEC). « Et pour tout autre gouvernement, si vous lisez ceci, vous pouvez simplement acheter ces données et espionner les citoyens que vous voulez également, vous pouvez suivre leur emplacement en leur envoyant un e-mail contenant une image GIF qui, une fois ouverte, saisit l’adresse IP de la victime », détaille-t-il également.
Suite au piratage, la Commission irlandaise pour la protection des données (DPC) a annoncé l'ouverture d'une enquête contre l’oiseau bleu afin de déterminer si la plateforme est en conformité avec le RGPD.