Twitter a aujourd’hui fourni une autre mise à jour sur l’étendue du récent piratage qui a vu les profils de plusieurs utilisateurs de haut niveau, dont Barack Obama, Joe Biden et d’autres, repris et utilisés pour promouvoir une arnaque à la crypto-monnaie.
Déjà, Twitter avait confirmé que Au total, 130 comptes avaient été ciblés dans l’incident et les assaillants avaient pu accéder pleinement à 45 d’entre eux. Plus loin que cela, jusqu’à huit des comptes piratés, les attaquants ont également franchi l’étape supplémentaire consistant à télécharger des informations historiques et personnelles via le « Vos données Twitter», Alors que certains avaient également parcouru les DM des comptes.
Twitter dit qu’il est limité dans les informations qu’il peut fournir sur l’étendue de l’incident, en raison des mesures d’application de la loi en cours, mais il est fourni ces informations supplémentaires dans ce qui s’est passé:
« L’attaque du 15 juillet 2020 a ciblé un petit nombre d’employés via une attaque de phishing par téléphone. Cette attaque reposait sur une tentative significative et concertée d’induire en erreur certains employés et d’exploiter les vulnérabilités humaines afin d’accéder à nos systèmes internes. »
Le processus de téléphone spear phishing consiste essentiellement à convaincre la personne que vous appelez que vous appartenez à une organisation / un service qui a besoin de ses coordonnées – qu’il s’agisse d’une agence gouvernementale, d’une ligne de support informatique, etc. L’appelant obtient alors ce qu’il peut et rassemble lentement les informations , normalement via une série d’appels avec différents employés, afin d’obtenir des informations d’accès.
Twitter fournit un contexte supplémentaire sur ce processus dans son article de blog mis à jour sur l’événement:
« Tous les employés initialement ciblés n’avaient pas l’autorisation d’utiliser les outils de gestion de compte, mais les attaquants ont utilisé leurs informations d’identification pour accéder à nos systèmes internes et obtenir des informations sur nos processus. Ces connaissances leur ont ensuite permis de cibler des employés supplémentaires qui avaient accès à nos outils de support de compte. «
C’est donc un processus lent et délibéré, qui permet d’obtenir des informations, petit à petit, qui conduit progressivement les pirates à l’accès dont ils ont besoin. Grâce à ce processus, leurs hacks téléphoniques deviennent également plus convaincants, car ils apprennent les noms des autres employés, les détails du fonctionnement des systèmes, des informations qui rendent leurs explications de plus en plus convaincantes au fur et à mesure de leur progression.
« En obtenant les informations d’identification des employés, ils ont pu cibler des employés spécifiques qui avaient accès à nos outils de support de compte. Ils ont ensuite ciblé 130 comptes Twitter – Tweeter à partir de 45, accéder à la boîte de réception DM de 36 et télécharger les données Twitter de 7. les outils, les contrôles et les processus sont constamment mis à jour et améliorés, nous examinons attentivement comment nous pouvons les rendre encore plus sophistiqués. «
Ainsi, la portée de l’attaque n’a pas changé – bien que Twitter ait initialement déclaré avoir téléchargé les informations de données de huit comptes, ce qui est maintenant réduit à sept. Cela ne réduit pas nécessairement l’impact, mais c’est un résultat légèrement meilleur que prévu.
En réponse à l’événement, Twitter déclare que:
« Nous avons considérablement limité l’accès à nos outils et systèmes internes [and] nous accélérons plusieurs de nos flux de travail de sécurité préexistants et améliorons nos outils. Nous améliorons également nos méthodes de détection et de prévention des accès inappropriés à nos systèmes internes et de hiérarchisation des travaux de sécurité dans plusieurs de nos équipes. «
Twitter note également que son accès limité à certains outils internes pour le moment, ce qui peut entraîner des temps de réponse plus lents que la normale pour certaines opérations de support.
« Ce fut un rappel frappant de l’importance de chaque membre de notre équipe dans la protection de notre service. Nous prenons cette responsabilité au sérieux, et tout le monde chez Twitter s’engage à protéger vos informations. Nous continuerons à partager les mises à jour et les mesures de précaution que nous prenons. afin que les autres puissent également en tirer des leçons. Nous reconnaissons la confiance que vous nous accordez et nous nous engageons à la gagner grâce à des mises à jour ouvertes, honnêtes et opportunes chaque fois qu’un incident comme celui-ci se produit. «
L’explication, encore une fois, concorde largement avec Rapport du New York Times sur l’incident, dans lequel le NYT a affirmé avoir parlé avec les pirates informatiques responsables, qui se sont depuis cachés.
Selon le rapport du NYT, un pirate informatique du nom de « Kirk » a pu accéder aux outils d’administration de Twitter en étant d’abord ajouté à Le canal Slack interne de Twitter, où il a glané des détails qui lui ont permis d’accéder éventuellement aux outils internes de Twitter. Kirk a cessé de parler au NYT lorsque le FBI a annoncé son implication dans l’affaire.
L’objectif initial du pirate était d’obtenir des identifiants Twitter souhaitables, puis de les revendre au sein de la communauté des joueurs. Ce qu’il aurait fait, semble-t-il, avec plusieurs profils changeant de main, avant de se tourner vers les profils de célébrités. L’explication n’est pas vérifiable à ce stade, mais encore une fois, elle semble correspondre principalement aux informations de Twitter sur l’événement.
À certains égards, les vulnérabilités humaines existeront toujours dans n’importe quel système, mais des rapports ultérieurs ont également suggéré que Twitter n’était pas trop prudent avec ses autorisations d’accès et que des milliers d’employés et de sous-traitants auraient théoriquement été en mesure de répondre à ces demandes. Nous n’entendrons probablement pas beaucoup plus sur ce côté des choses tant que l’enquête complète ne sera pas terminée, mais comme le note Twitter, l’incident rappelle que les plates-formes doivent gérer leur sécurité de manière judicieuse, en particulier lorsqu’elles ont l’ampleur et l’influence. des principaux réseaux sociaux.
