Après que plusieurs gros comptes Twitter se sont fait piratés dans le cadre d'une arnaque aux bitcoins, on apprend que les hackers n'ont pas utilisé de failles techniques. Au lieu de cela, ils ont réussi à convaincre un employé du réseau social à livrer un accès à un outil d’administration interne, notamment en le soudoyant.
« Le plus gros piratage de l’histoire de Twitter ». Voilà le genre de phrases qu’on lit fréquemment depuis hier soir. Le réseau social à l’oiseau bleu a en effet été la cible d’une attaque sans précédent. Résultat : plusieurs comptes à très forte visibilité comme ceux d’Apple, Uber, Barack Obama, Elon Musk, Jeff Bezos ou Joe Biden se sont mis à poster plusieurs messages incitant les internautes à faire des dons de bitcoins sur une adresse BTC en leur faisant croire que cela leur rapporterait de l’argent en retour. Il s’agissait évidemment d’une arnaque.
Plus de 100 000 euros de transactions ont ainsi été effectués pour aller dans les poches des attaquants. Face à ce genre de nouvelle, le bon réflexe est de vérifier que votre mot de passe est robuste, qu’il n’a pas été compromis et de le changer le cas échéant.
Pour aller plus loin
Gestionnaire de mots de passe : les meilleures alternatives à LastPass
Toutefois, dans ce cas précis, cette méthode n’aurait pas pu aider grand monde, car les hackers n’ont pas exploité une faille technique. Ils ont eu un accès direct à un outil utilisé en interne de Twitter via des méthodes a priori plus sournoises.
Soudoyer l’employé
Le site Motheboard de Vice cite ainsi deux sources ayant pris le contrôle de certains des comptes du réseau social. Elles expliquent entre autres avoir payé une personne travaillant chez Twitter pour avoir accès audit outil interne d’administration. Cette piste est corroborée par l’entreprise elle-même qui s’est exprimée dans une série de tweets.
We detected what we believe to be a coordinated social engineering attack by people who successfully targeted some of our employees with access to internal systems and tools.
— Twitter Support (@TwitterSupport) July 16, 2020
« Nous avons détecté ce que nous pensons être une attaque coordonnée d’ingénierie sociale par des personnes qui ont réussi à cibler certains de nos employés ayant accès à des systèmes et outils internes », lit-on dans l’un des messages. Pour rappel, le concept d’ingénierie sociale quand on parle de sécurité informatique consiste à manipuler quelqu’un psychologiquement afin d’avoir accès à des données sensibles.
Ainsi, la faille exploitée n’est pas technique ou technologique, elle est humaine. Ensuite, grâce à l’outil interne compromis, les hackers ont pu changer l’adresse mail associée aux comptes piratés (ou au moins une partie d’entre eux). En agissant de la sorte, il était encore plus compliqué pour les personnes visées de récupérer le contrôle de leur compte.
Twitter a dans un premier temps réagit en indiquant qu’il avait limité la possibilité de tweeter, réiniatiliser le mot de passe et plusieurs autres fonctionnalités du réseau social en attendant de résoudre le souci. Une grande partie de ces restrictions a depuis été levée, mais l’enquête en interne ne fait que commencer.
[…] Piratage de Twitter : un employé a été payé pour aider les hackers, ou alors … […]
Tout ça pour 100k€ ? C'est raté pour eux on dirait...
Bref
pas si simple. j'ai des appli ou il est impossible de changer d'adresse mail . applis interne par exemple, et limité au domaine interne. l'admin ne peut pas remplacer toto@pro.com par zezette@gmail.com ni l'utilisateur. procedure ad hoc donc tweeter est une passoire, un point c'est tout
En fait t'as pas besoin de voir les données sensibles, à partir du moment où tu peux changer l'adresse e-mail c'est "dans la poche" tu peux changer le mot de passe sans soucis à travers le site web ou l'application.
Donc sans emploi ... !
Bref
Non mais ça n'est pas le sujet, tout dépend des outils qui existent, d'une boîte à une autre tu as des besoins différents donc des outils différents.
curieux, car même nos administrateurs system ne voient pas les données sensible clients dans nos appli. Trump doit trembler 😂 les plaisantins
Parce que tu crois que si ce qui est dit dans cet article est vrai, il va juste se retrouver au chômage ? le gars, ça va être directement la prison avec une forte amende à payer sur des générations. :')
Un futur chômeur de plus au U.S