Plus de 1 000 employés de Twitter disposaient de l'accès sécurisé nécessaire pour aider les pirates

MISE À JOUR : Selon deux anciens employés de Twitter, plus de 1 000 employés et sous-traitants de Twitter auraient eu accès aux mêmes outils internes qui auraient permis aux cybercriminels de prendre le contrôle de 36 comptes de premier plan.

S'adresser à Reuters , les anciens membres du personnel connaissant les pratiques de sécurité de Twitter ont déclaré qu'au début de l'année 2020, ces employés avaient le pouvoir de modifier les paramètres des comptes d'utilisateurs et de confier le contrôle à d'autres parties.

Ce nombre inclut non seulement le personnel permanent de Twitter, mais également les sous-traitants du fournisseur de services informatiques américain Cognizant, ce qui soulève des questions sur la raison pour laquelle tant de personnes ont reçu des privilèges de sécurité aussi étendus.

Les anciens employés ont également déclaré à Reuters que, malgré la violation de la semaine dernière, la politique de sécurité de l'entreprise est toujours une amélioration des procédures appliquées pendant leur séjour dans l'entreprise. Twitter avait décidé de réprimer les violations en enregistrant l'activité de son personnel à la suite d'un incident survenu en novembre 2019, lorsqu'un employé aurait été surpris en train d'espionner pour le compte du gouvernement saoudien.

Selon Ilia Kolochenko, fondateur et PDG de la société de sécurité Web ImmuniWeb, l'attaque a été "renforcée par l'exploitation d'autres faiblesses de la sécurité interne de Twitter".

« Il n'est pas exclu que les attaquants aient été aidés par un initié ou aient exploité une vulnérabilité à haut risque détectée dans l'un des systèmes Web de Twitter. Sinon, nous pouvons raisonnablement en déduire que Twitter n'a pratiquement pas de contrôles de sécurité internes et de meilleures pratiques que nous devrions normalement attendre d'une entreprise technologique de sa taille », a-t-il déclaré.

Pendant ce temps, lors d'un appel aux investisseurs jeudi, le directeur général de Twitter, Jack Dorsey, a admis avoir fait des faux pas :

"Nous avons pris du retard, à la fois dans nos protections contre l'ingénierie sociale de nos employés et les restrictions sur nos outils internes", a-t-il déclaré.

23/07/2020 : Les cybercriminels qui ont ciblé 130 comptes dans le cadre du piratage majeur de Twitter de la semaine dernière ont eu accès aux communications privées de jusqu'à 36 titulaires de compte, a confirmé la société.

Parmi les individus ciblés, les pirates ont compromis 45 comptes dans la mesure où ils ont pu envoyer des tweets, et un quatrième 36 ont eu accès à leurs messages directs, selon la firme. On pense qu'au moins huit comptes ont eu accès à leurs données de compte archivées via l'outil "Vos données Twitter", qui contient l'intégralité de l'activité de leur compte, bien qu'aucun de ces huit comptes ne soit "vérifié" sur la plate-forme.

Twitter n'a pas indiqué s'il y avait un chevauchement entre ceux dont les comptes ont été compromis, ceux dont les DM ont été consultés et ceux dont les données archivées ont été téléchargées.

Plusieurs personnalités de premier plan, dont l'ancien président américain Barack Obama et le favori démocrate Joe Biden, figuraient parmi les personnes impliquées dans le piratage, comme en témoignent un certain nombre de Tweets faisant la promotion d'un système frauduleux de rachat de Bitcoin, suggérant qu'ils faisaient partie des 45. Autres comptes tweetant de cette manière inclus Jeff Bezos, Bill Gates et d'autres personnalités du monde des affaires.

Les tweets frauduleux décrivaient un schéma dans lequel tout Bitcoin donné à un portefeuille spécifique serait retourné à l'utilisateur doublé. À ce jour, l'escroquerie a attiré 396 transactions Bitcoin d'une valeur totale de plus de 96 000 £.

En règle générale, si un pirate obtenait le contrôle total d'un compte au point de pouvoir envoyer des tweets, il serait également en mesure de lire les messages directs précédemment envoyés, voire même d'en envoyer de nouveaux facilement.

Twitter, cependant, a insisté sur le fait qu'un seul élu, un homme politique néerlandais anonyme, faisait partie de ceux dont les DM ont été consultés. Il n'y a actuellement aucune indication, a ajouté la société, que d'autres élus anciens ou actuels aient eu accès à leurs DM, excluant les goûts d'Obama ou de Biden comme faisant partie des 36.

Bien que les attaquants aient pris le contrôle total de certains comptes, Twitter a déclaré qu'ils n'auraient pas pu voir les mots de passe précédents car ceux-ci ne sont pas stockés en texte brut. Il a ajouté que même avec l'accès aux outils internes, les pirates auraient toujours été incapables de les voir.

Les pirates ont cependant pu voir des informations personnelles, y compris des adresses e-mail et des numéros de téléphone, qui sont affichées pour certains employés qui ont accès aux outils d'assistance internes de l'entreprise.

Parmi les comptes qui ont été piratés, les pirates ont pu voir ce que Twitter a décrit comme des "informations supplémentaires". La société a ajouté que son enquête médico-légale sur ces activités était toujours en cours.

Le fondateur de McAfee, John McAfee, a quant à lui suggéré que son propre compte Twitter avait été piraté ou gelé au cours des 12 dernières heures, certains tweets ayant disparu ou n'ayant été vus que par une poignée d'individus. Il n'est pas clair si ces rapports sont liés au piratage majeur de la semaine dernière.

Alors que l'enquête se poursuit, Twitter a déclaré qu'il sécuriserait davantage ses systèmes pour prévenir de futures attaques et déploierait une formation supplémentaire à l'échelle de l'entreprise pour se prémunir contre les tactiques d'ingénierie sociale.

Cette histoire a été mise à jour le 24/07/2020