Name: Tremplin Numérique
Price range: $$$

DANIEL CONSTANTE / Shutterstock

La nuit dernière a été longue pour Twitter. Bill Gates, Elon Musk, le président Barack Obama, Apple, Uber et bien d'autres ont commencé à tweeter des offres pour doubler l'argent des gens s'ils envoyaient du bitcoin à un portefeuille spécifique. Rien de tout cela n'était vrai, bien sûr, c'était une arnaque. Et maintenant Twitter admet ses outils internes a rendu possible le hack géant.

Vous ne le savez peut-être pas, mais Twitter a un contrôle massif sur tous les comptes du service. Une partie de cela est nécessaire. Si votre compte est compromis et que le pirate modifie l'e-mail et le mot de passe associés, Twitter peut utiliser ses outils pour corriger la situation.

Et ce sont ces mêmes outils qui ont conduit à la chute du service. Selon le réseau social, les pirates informatiques ciblent les employés de Twitter en utilisant une forme d'ingénierie sociale. Une fois que les pirates ont eu accès aux comptes des employés, ils ont utilisé les outils internes de Twitter pour faire le reste.

Nous savons qu'ils ont utilisé cet accès pour prendre le contrôle de nombreux comptes très visibles (y compris vérifiés) et tweeter en leur nom. Nous recherchons les autres activités malveillantes qu'ils ont pu mener ou les informations auxquelles ils ont pu accéder et nous partagerons plus d'informations ici au fur et à mesure.

– Assistance Twitter (@TwitterSupport) 16 juillet 2020

Les outils internes de Twitter ont permis aux pirates de reprendre des comptes de haut niveau et de tweeter le message concernant le bitcoin. Twitter n'était pas clair sur ce que faisaient les outils, mais certains des comptes concernés ont confirmé qu'ils avaient précédemment activé l'authentification à deux facteurs (2FA).

Le scénario le plus probable est que les outils ont permis aux pirates de modifier les adresses e-mail, les mots de passe et même de désactiver 2FA. Ce sont les types d'outils que Twitter peut utiliser pour vous aider à récupérer votre compte s'il est compromis.

Une fois que Twitter s'est rendu compte de ce qui se passait, il a verrouillé les comptes concernés, puis il est allé plus loin: il a désactivé la possibilité de tweeter pour tous les comptes vérifiés. Pendant environ deux heures, seuls les comptes non vérifiés pouvaient tweeter.

Puis-je encore tweeter? (Tentative n ° 8)

– Justin Duino ???? (@jaduino) 16 juillet 2020

L'ensemble de la chaîne d'événements a révélé beaucoup de choses sur les capacités de Twitter. Entre un accès total aux comptes d'utilisateurs et la possibilité de désactiver une classe d'utilisateurs (dans ce cas, les utilisateurs vérifiés), Twitter semble avoir un contrôle quasi total de quoi et qui peut dire quoi que ce soit sur le service.

Mais les événements de la nuit dernière ont également révélé le danger de ces outils; Twitter devra mettre en œuvre des modifications pour éviter une répétition du piratage. Cette fois, les pirates ont utilisé le stratagème pour voler du bitcoin (selon certains rapports, environ 110 000 $). La prochaine fois, cela pourrait être pire.

La source: Twitter