Twitter Hack Fiasco: outil interne compromis, initiés rémunérés, craintes de message direct

Mercredi, un grand nombre de comptes Twitter ont été compromis et les pirates ont utilisé les comptes pour tweeter à propos d’une arnaque doublant le bitcoin. Selon plusieurs rapports, un employé de Twitter a été payé pour donner aux pirates un outil interne qui leur permettait d’exploiter des comptes de médias sociaux très médiatisés.

Ce fut une journée folle dans le monde des crypto-monnaies, car un nombre massif de personnes et d’organisations de haut niveau comme Bill Gates, Apple, Uber, Barack Obama, Elon Musk, Jeff Bezos, Joe Biden et bien d’autres ont vu leurs comptes Twitter piratés .

Après l’incident, un certain nombre de détectives de fauteuils et de journalistes d’investigation ont découvert une mine d’informations sur le problème Twitter

Le chroniqueur populaire Joseph Cox a expliqué qu’il avait obtenu des «captures d’écran divulguées» d’un outil interne utilisé par les pirates. Selon le rapport, Cox dit que l’une de ses sources anonymes a révélé que les coupables «avaient payé [un] initié Twitter». Il a également mentionné que Twitter recherchait toujours si l’employé avait utilisé l’outil ou s’il avait simplement autorisé d’autres personnes à l’utiliser.

Twitter Hack Fiasco: outil interne compromis, initiés rémunérés, craintes de message direct
Un tweet du compte Joe Biden piraté après avoir été compromis par les pirates. Les escrocs ont utilisé un système de doubleur de Bitcoin Future commun pour convaincre les gens d’envoyer des bitcoins.
Sur Twitter, le récent fil Twitter de l‘ analyste Block Crypto Larry Cermak donne également un aperçu complet de l’incident. Cermak dit que «tout a commencé à 14 h 16 HE avec un compte crypto connu @Angelobtc demandant un paiement pour rejoindre un faux groupe payé par télégramme».

„Le point à retenir est que le pirate informatique a commencé avec de grands comptes cryptographiques et s’est limité à quelques formats et adresses“, a poursuivi Cermak . «Le pirate informatique est ensuite passé à des célébrités non cryptographiques deux heures après le premier piratage. Ils n’ont utilisé que trois adresses BTC . Ce que je dirai, c’est qu’il est totalement inacceptable qu’il ait fallu à Twitter pour agir aussi longtemps. À 16 h 17 HE, il était absolument clair pour quiconque prêtait attention que Twitter était compromis. Twitter a mis 2 heures (à 18 h 05 HE) pour commencer à jouer. »

Une autre découverte provenant de Joseph Cox explique que le sénateur américain Ron Wyden s’est plaint à Twitter d’avoir utilisé le chiffrement de fin de chaîne (e2e) pour les messages directs il y a deux ans, et la société n’a jamais donné suite à cette idée.

«En septembre 2018, peu de temps avant son témoignage devant le comité sénatorial du renseignement, j’ai rencontré en privé le PDG de Twitter, Jack Dorsey», a tweeté Wyden

«Au cours de cette conversation, M. Dorsey m’a dit que l’entreprise travaillait sur des messages directs chiffrés de bout en bout.» Le sénateur a poursuivi:

Cela fait près de deux ans depuis notre réunion, et les DM de Twitter ne sont toujours pas chiffrés, ce qui les rend vulnérables aux employés qui abusent de leur accès interne aux systèmes de l’entreprise, et aux pirates qui obtiennent un accès non autorisé.

De nombreuses personnes s’inquiètent de l’accès direct aux messages, car toute personne qui a été piratée lors de l’incident a pu voir ses journaux de discussion supprimés. L’organisation Fight for the Future a tweeté une pétition aux masses afin de convaincre le PDG de Twitter Jack Dorsey de protéger les messages directs d’un compte. “ Il est grand temps pour Twitter de mettre en œuvre un cryptage de bout en bout par défaut sur les messages directs“, a déclaré le groupe . La directrice de la cybersécurité de l’Electronic Frontier Foundation (EFF), Eva Galperin, a également déclaré au public dans un tweet que l’EFF priait également Twitter de mettre en œuvre e2e.

„Twitter n’aurait pas à s’inquiéter de la possibilité que l’attaquant lise, exfiltre ou modifie des DM en ce moment s’il avait implémenté e2e pour des DM comme EFF le leur demande depuis des années“, a tweeté Galperin après l’événement.