Le cybercriminel Ryushi est parvenu à dérober les données personnelles de quelques 400 millions d’utilisateurs de Twitter. Cela inclut les noms d’utilisateurs, noms, adresses électroniques, date de création de compte, nombre de followers Twitter et dans certains cas numéros de téléphone. Afin de démontrer qu’il détient bien ces données, le hacker a publié un extrait de quelque 1 000 utilisateurs dont 37 célébrités. Cela inclut notamment Sundar Pichai, Alexandria Ocasio-Cortez ou encore Donald Trump Jr.

Le hacker était parvenu à collecter ces données en 2021 grâce à une faille connue de l’API de Twitter qui a depuis été résolue en janvier 2022. Cette dernière permettait de transmettre des listes d'adresses email et de numéros de téléphones à l’API et de recevoir en retour l’identifiant utilisateur associé. Ces identifiants pouvaient ensuite être utilisés pour obtenir les données de profil publiques des utilisateurs en question.

Le hacker Ryuji a mis en vente ces données sur un forum de hackers du darkweb avec un lien expliquant comment elles peuvent être utilisées, pour mener des attaques de phishing ou autres arnaques. Il a directement invité Elon Musk a racheter ces données afin d’éviter une amende pour manquement au RGPD dans l’Union Européenne. Et pour cause, Meta s’est récemment vu infliger une amende de 265 millions d’euros par la Commission irlandaise de la protection des données suite à la fuite des données de plus de 533 millions d’utilisateurs de Facebook. En rachetant ces données pour 200 millions de dollars, Twitter pourrait ainsi amoindrir son amende et payer une somme inférieure au total. Dans tous les cas, la Commission irlandaise va entamer une enquête pour identifier tout manquement au RGPD et appliquer les sanctions adéquates.

Les données partagées par le hacker ont permis de vérifier la véracité de ses propos et que les données qu’il détient ne sont pas celles des 5,3 millions de profils Twitter qui avaient déjà fuité par le passé. En revanche, rien ne permet d’assurer qu’il détient les données d’autant d’utilisateurs qu’il le prétend. Pour mener à bien la vente, le hacker a mis en place une vente par le biais d’un service de séquestre. Cela permet de libérer les fonds uniquement une fois que les conditions pré-établies, comme la remise des données, ont été remplies. Dans le cas où le hacker ne trouve personne souhaitant acheter les données exclusivement, il a annoncé qu’il en vendra des copies pour 60 000 dollars. Quelle que soit la décision de Twitter, c’est là une situation dont l’entreprise aurait probablement pu se passer. En effet, cette dernière fait déjà face à des difficultés financières après son acquisition par Elon Musk.