Twitter : des comptes détournés grâce à une complicité interne

Florian Innocente |

C'est au moyen d'une complicité interne à Twitter que des personnes ont pu prendre le contrôle de plusieurs comptes de personnalités.

Elles ont publié des messages invitant à envoyer des bitcoins à une adresse avec la promesse d'en recevoir le double en retour (lire Les comptes Twitter d'Apple, d'Elon Musk, de Bill Gates et d'autres, piratés pour une arnaque au Bitcoin). Ce sont quasiment 120 000 dollars qui ont été ainsi obtenus.

Motherboard a recueilli les témoignages de deux personnes affirmant avoir perpétré ce détournement qui a touché des comptes aussi variés que celui d'Apple, de Joe Biden, Barack Obama, Elon Musk, Uber, Jeff Bezos, Kanye West, Bill Gates, ou Michael Bloomberg.

L'un de ces contacts explique que cet employé de Twitter leur a mâché le travail en utilisant un outil interne de gestion des comptes, tandis que l'autre source ajoute que ce complice a été payé pour sa collaboration.

Twitter a confirmé une partie de ce scénario, mais n'a pas précisé si l'employé avait lui-même manipulé les comptes ou donné un accès à l'outil interne :

Nous avons détecté ce que nous pensons être une attaque d'ingénierie sociale, coordonnée par des gens qui ont réussi à cibler certains de nos employés ayant accès aux systèmes et outils internes.

Nous savons qu'ils ont utilisé cet accès pour prendre le contrôle de nombreux comptes très visibles (y compris ceux vérifiés) et tweeter en leur nom. Nous recherchons les autres activités malveillantes qu'ils ont pu mener ou les informations auxquelles ils ont pu accéder et nous donnerons plus d'informations au fur et à mesure.

Des captures d'écran montrant des tableaux de bord internes ont été également partagées en ligne avant que Twitter n'en fasse la chasse sur son réseau. Ces outils ont pu servir à modifier les email associés à certains de ces comptes et en dévoyer les droits de propriété. Twitter a apporté des changements aux droits d'accès internes à ses outils pendant la durée de son enquête.

Le panneau de contrôle de Twitter de l'un des comptes piratés. Image Motherboard

Un sénateur américain, Josh Hawley, a d'ores et déjà demandé à ce que Twitter fournisse davantage d'informations sur cette affaire, sur le nombre de comptes qui ont été compromis, le nombre d'utilisateurs touchés et de préciser si le compte de Donald Trump avait été affecté d'une manière ou d'une autre.

avatar bhelden | 

On a trouvé la faille ! Les hommes (et la corruption).

avatar DrStax | 

@bhelden

Une faille qu’on ne saura jamais corrigé.

avatar frankm | 

@DrStax

C’est incorrigible en effet.

avatar raoolito | 

@bhelden

finalement « que » 120 000$, quelque soit le prix payé il etait bien maigre vu ce que ca coutera au coupable

avatar julien74 | 

@raoolito

Surtout que ça représente rien au regard de ce que le contrôle de ces comptes. Ce n’était ps des comptes Twitter lambdas...

avatar occam | 

@bhelden

"Les hommes (et la corruption)."

Graham Greene en a fait un de ses livres d’espionage les plus désespérants, parce que les plus grisâtres :
The Human Factor (1978).

La guerre froide n’y est même plus glaciale, elle est de cendres. Et la trahison est au coeur du système.
Greene fait dire à l’une de ses figures, sur le point de trahir à nouveau :
« Our worst enemies here are not the ignorant and the simple, however cruel; our worst enemies are the intelligent and corrupt. »

avatar xs39 | 

Mr Robot ?

avatar Ielvin | 

@xs39

Ah tiens je n’ai pas fini la saison 2.
Merci :)

Eux c’est plus black rock mountain.

avatar Paul_M | 

120000 dollars ça me parait peu compte tenu de "l'ampleur" de l'attaque

avatar raoolito | 

@Paul_M

oui enfin twitter c’est pas facebook coté profil, et bitcoin ca ne parle pas tant que cela (et enfin 1000$ faut les avoir sous la main)
bref, ca fait beaucoup d’obstacle. Derrick aurait dit dans un episode « envoyez moi 200€ pour m’aider face à ma maladie sur ce compte offshore » ca aurait rapporté des millions
mais c derrick :)

avatar corben | 

Le complice va prendre super cher

avatar andr3 | 

@corben

Oui et non.

Cela va dépendre notamment de la raison pour laquelle l'employé(e) a fait/facilité/été obligé de faire/faciliter cette attaque.

Cela ne va pas le dédouaner entièrement, mais s'il/elle a été victime d'un chantage cela pourrait atténuer sa peine.

avatar ya2nick | 

@andr3

Aux États Unis ? Pays de la tolérance ?

avatar corben | 

@andr3

Euhhh.... le mec n’est pas un lanceur d’alerte
Il a participé à une arnaque de grande ampleur

Piratage du réseau de son employeur
Piratage des comptes des utilisateurs
Usurpation d’identité
Escroquerie financière

Les peines se cumulent en plus par nombre de plaignants

Non seulement ceux qui se sont fait pirater peuvent attaquer mais tous ceux qui ont participé à ceux qui croyaient que c’était des dons légitimes

C’est ridicule mais sa peine va être de plus d’un siècle

Chantage ? Ça va être difficile de parler de chantage s’il a touché quelque chose pour aider

avatar raoolito | 

@corben

attention à verifier d’abord ce genre d’affirmation
c’est une personne qui pretend etre un des auteurs qui explique que...
ensuite le gars ne pensait peut-être pas que ca irait si loin (mais bon, ca c’est pas une excuse)

bref, yaura enquete et c...

avatar MarcMame | 

@corben

"Le complice va prendre super cher"

Le complice n’avait probablement pas l’intention de s’éterniser dans cette société.
C’est souvent le cas.

avatar corben | 

@MarcMame

Je ne pensais pas à sa carrière mais à sa peine de prison

avatar windorm | 

J’me disais que c’était trop gros et trop mal mis en scène pour que ça soit des hackeurs, ils ont risqué trop gros pour les gains récupérés, dommage pour eux mdr

avatar chris74b | 

Le chiffre annoncé de 120 K me parrait étonnant, quand on sait que des banques et grosses entreprises ont dépensaient des millions pour récupérer certaines données informatiques...
Soit le gars est mauvais en négo, soit on nous ment sur la valeur.

avatar raoolito | 

@chris74b

faudra expliquer comment on peut mentir sur le montant 🤣
il suffit de cliquer sur le lien public affiché sur les tweets, et de lire combien ya sur le compte :)

avatar Vetsa | 

Moi ce qui m’étonne c’est la fin du paragraphe! Au final, ils pourront venir dire que le compte de M.Trump avait été piraté et c’est pour cela qu’on avait des tweets sans queue ni tête 🤣 depuis des années.

Ils sont fortiches ces américains.... avec un happy ending comme dans les films

avatar Seb42 | 

@Vetsa

👍 c’est ce que je me suis dit aussi 😁

avatar macfredx | 

@Vetsa

Le problème avec ton scénario, c'est qu'il n'y a pas que les tweets...

avatar ys320 | 

La sécurisation des mots de passe Twitter est archaïque. Quand on pense que de multiples personnes utilisent le même login et le même mot de passe pour se connecter au compte quand ils travaillent en équipe sur une marque. Sur Facebook avec la gestion des rôles c’est quand même plus safe.

avatar raoolito | 

@ys320

sauf qu’ici ca ne s’est pas passé comme ca, les comptes n’ont pas ete piratés par un malandrin, c’est celui qui avait acces aux controles elevés sur les comptes qui a viré la double authentification et changé le email de recup
meme facebook serait parti à volo sur un coup comme çà

Pages

CONNEXION UTILISATEUR