Comme vous le savez probablement, Twitter a été piraté (à nouveau) mercredi. De nombreux utilisateurs de haut niveau ont semblé tweeter une arnaque au bitcoin. Le hack semblait trop facile: peut-être en ai-je assez de Twitter maintenant.
Ah, le bleu californien. Qu’est ce qui ne va pas avec ça? C’est mort, c’est ça qui ne va pas.
Beau plumage. Sécurité moche.
Des nouvelles de ce qui s’est réellement passé? Bien sûr! Continuer à lire. Dans SB Blogwatch d’aujourd’hui, nous recherchons les fjords.
Votre humble blogwatcher a organisé ces articles de blog pour votre divertissement. Sans oublier: 화성 에서 디제이.
Avian Blu ‘
Quel est le craic? Joe Tidy et David Molloy d’Aunty répondent: « Qu’est-il arrivé?« :
Sur [Wednesday] un certain nombre de comptes liés à Bitcoin ont commencé à tweeter ce qui semblait être une simple arnaque Bitcoin. [It] se propager à des comptes de célébrités tels que Kim Kardashian West et l’ancien vice-président Joe Biden, ainsi que ceux des sociétés Apple et Uber. [Hackers] avait en quelque sorte accédé aux propres outils d’administration interne de Twitter.
…
Des indices sur les responsables font surface. … Une annonce sur un forum de hackers [claimed] pour pouvoir voler n’importe quel compte Twitter en changeant [its] adresse e-mail. [This was] au moins 36 à 48 heures avant l’apparition des escroqueries Bitcoin.
…
Le problème est que ce piratage pourrait ne pas être terminé si les attaquants copiaient – et possédaient toujours les messages directs privés des comptes sur lesquels ils ont pris le contrôle. … Les messages privés de Kayne West, Kim Kardashian West et Elon Musk pourraient valoir de l’argent sur des forums web sombres.
…
Les messages privés de l’espoir présidentiel Joe Biden ou de l’ancien maire de New York Michael Bloomberg pourraient également avoir des conséquences politiques.
Et Mike Isaac, Sheera Frenkel, Nathaniel Popper et Kate Conger font la queue… « Même certaines questions fondamentales… restent sans réponse.»:
Le piratage, et l’incapacité de l’entreprise à comprendre rapidement ce qui s’est passé, est un embarras majeur pour Twitter. … Le piratage de comptes de haut niveau pour partager une arnaque a montré que Twitter n’était pas préparé aux menaces de sécurité auxquelles il était confronté.
…
Les chercheurs en sécurité ont également demandé pourquoi Twitter n’avait pas de meilleures garanties pour surveiller les activités suspectes sur les comptes des employés. … Les experts estiment qu’en fonction de la durée pendant laquelle les pirates ont eu un accès administratif, d’autres retombées pourraient être en magasin.
…
Le compte du président Trump n’a pas été affecté par la violation. [His] Le compte a obtenu une protection supplémentaire après des incidents passés, selon un haut responsable de l’administration et un employé de Twitter, qui ne parlaient que de manière anonyme parce que les mesures de sécurité étaient privées.
Alors qui l’a fait? Tous à bord du cycle Brian Krebs— « Qui est derrière l’épopée Twitter de mercredi?»:
Il y a de fortes indications que cette attaque a été perpétrée par des individus qui se sont traditionnellement spécialisés dans le détournement de comptes de réseaux sociaux via le «permutation de cartes SIM». [which] implique de soudoyer, de pirater ou de contraindre les employés des entreprises de téléphonie mobile… à fournir un accès. [On] un forum dédié au détournement de compte, un utilisateur nommé «Chaewon» a annoncé qu’il pouvait changer l’adresse e-mail liée à n’importe quel compte Twitter pour 250 $.
…
Les enquêteurs ont suivi… un échangeur de carte SIM notoire qui porte le surnom de «PlugWalkJoe»,… parce qu’on pense qu’il a été impliqué dans plusieurs attaques d’échange de cartes SIM au cours des années qui ont précédé les braquages de Bitcoin coûteux. [A] la source a dit [he] a joué un rôle clé dans un groupe d’échangeurs de cartes SIM qui ont adopté le surnom de «ChucklingSquad», [and] aurait été à l’origine du détournement du compte Twitter du PDG de Twitter, Jack Dorsey, l’année dernière.
…
[My source said] PlugWalkJoe dans la vraie vie est un jeune de 21 ans de Liverpool, au Royaume-Uni, nommé Joseph James Connor. La source a déclaré que PlugWalkJoe était en Espagne où il fréquentait une université jusqu’au début de cette année.
Mais pourquoi les victimes n’ont-elles pas été informées à leurs anciennes adresses e-mail? Heureusement, Jered Morgan –@ Lucky225– est là pour le décomposer:
Comme nous le savons maintenant grâce à Twitter et à diverses autres sources, les attaquants avaient accès au panneau d’administration de Twitter par des employés de Twitter. … Les attaquants ont pu utiliser l’accès au portail pour mettre à jour l’adresse e-mail enregistrée pour le compte, révoquer les paramètres 2FA, puis réinitialiser le mot de passe pour accéder au compte.
…
Lorsqu’un employé de Twitter met à jour l’adresse e-mail dans le fichier, il n’envoie pas de notification au propriétaire du compte, donc après la mise à jour de l’adresse e-mail, un e-mail concernant la révocation de 2FA est envoyé au Nouveau adresse e-mail. Et puis, quand ils effectuent une réinitialisation du mot de passe, il passe également à la nouvelle adresse e-mail… sans jamais avertir le véritable propriétaire du compte que quelque chose s’est produit.
…
Les attaquants tl; dr is:
1) changer l’adresse e-mail dans le fichier,
2) révoquez 2FA via les outils d’administration Twitter, et
3) effectuez une réinitialisation du mot de passe.
Attendre. Pause. DeWitt Clinton—@dewitt– indique qu’il ne s’agissait pas d’un échange de carte SIM:
J’ai entendu dire par quelques-uns que ce n’était pas du simjacking.
…
Pour ceux qui disent « Je ne peux pas croire qu’ils ont brûlé ces comptes juste pour une arnaque au bitcoin » – ils ne l’ont pas fait. … La véritable arnaque (chantage) peut se produire maintenant à loisir.
…
Les auteurs peuvent maintenant prouver qu’ils… détiennent les données. … Je ferais mieux de ne pas me tromper à ce sujet. Je refuse de croire que je suis un meilleur génie du mal que de véritables méchants.
Comment Twitter devrait-il résoudre le problème? Slashdotter slashmydots a une suggestion:
Qui était derrière l’incident? Des gens stupides qui ne devraient pas posséder de bitcoins.
…
Quoi qu’il en soit, vous penseriez qu’il y a une chose de journalisation «qui a fait cela» où les employés sont connectés comme eux-mêmes afin qu’ils puissent retracer un e-mail réinitialisé à un être humain. Si non, saint ****, changez-le pour qu’il fonctionne de cette façon, Twitter!
Avec un point de vue plus raisonné, Voici Alex Stamos:
Twitter peut apporter de nombreuses modifications pour réduire le risque lié aux fonctions de service client, telles que la création de flux à deux personnes et l’exécution d’une authentification basée sur les risques. Aucune couverture de ce problème ne doit ignorer que les principaux fournisseurs de téléphonie mobile ont toujours du mal à arrêter les échanges de cartes SIM.
Alors juste un pot-de-vin? Ou un vrai hack? thondwe a une théorie à ce sujet:
Supposons que la plupart des administrateurs Twitter travaillent à domicile, donc l’accès à distance est donné. … Les VPN ont des trous (plusieurs solutions de haut niveau ont eu des exploits exposés récemment).
Mais gl4ss voit à travers les implications:[You’re fired—Ed.]
Pourquoi une entreprise ou un pays utiliserait-il Twitter pour publier des informations officielles alors que l’entreprise est une telle tempête ****? Twitter n’avait probablement aucune sécurité sur les représentants des clients … alors certains représentants ont commencé à vendre [access].
…
C’est vraiment fou de fonctionner de cette façon.
Arnaque assez transparente cependant. Arthur le chat sait ce qu’il ferait différemment:
Ignorez leur arnaque, mon arnaque peut augmenter votre [money] 100 fois! Il y aura de petits frais d’administration payables d’avance.
Pendant ce temps, Warez secoue la tête:
Ils ont un accès complet aux comptes Twitter les plus puissants au monde et ils escroquent le bitcoin? Quelle bande d’amateurs.
Et enfin:
Vous avez lu SB Blogwatch par Richi Jennings. Richi organise les meilleurs articles de blog, les meilleurs forums et les sites Web les plus étranges… pour que vous n’ayez pas à le faire. Les messages haineux peuvent être dirigés vers @RiCHi ou sbbw@richi.uk. Demandez à votre médecin avant de lire. Votre kilométrage peut varier. E&OE. 30.
Sauce image: Katja Just (via Pixabay)