Hacker: je me faufile dans Twitter

Pour la deuxième fois cette année, un pirate informatique a accédé au compte Twitter d'un employé.

Mercredi, un hacker anonyme du nom de Hacker Croll a posté 13 captures d'écran sur un forum de discussion en ligne français. capturé alors connecté sur le compte Twitter de Jason Goldman, un directeur de la gestion des produits avec Twitter.

Twitter Cofondateur Biz Stone a confirmé la violation dans un blog jeudi après-midi. "Cette semaine, l'accès non autorisé à Twitter a été gagné par une partie extérieure", écrit-il. «Nos examens et enquêtes de sécurité initiaux indiquent qu'aucune information de compte n'a été modifiée ou supprimée, mais nous avons découvert que 10 comptes individuels ont été consultés pendant cet accès non autorisé.»

[Lectures supplémentaires: Comment supprimer les logiciels malveillants de Windows PC]

Selon les captures d'écran, Hacker Croll a pu accéder à des informations de compte appartenant à des utilisateurs de Twitter tels que Britney Spears et Ashton Kutcher. Il pourrait également faire des choses telles que l'ajout ou la suppression d'utilisateurs en vedette, qui sont suggérés aux nouveaux membres Twitter lors de leur inscription.

Le pirate informatique aurait pu accéder à des informations telles que des adresses e-mail, des numéros de téléphone portable et liste des comptes bloqués par ces utilisateurs, Stone a écrit. "Nous avons personnellement contacté les utilisateurs de Twitter dont les comptes ont été compromis via cet accès non autorisé", at-il dit.

Mots de passe supposés

Hacker Croll prétend avoir accédé au mot de passe Twitter de Goldman en accédant à son compte Yahoo. "L'un des administrateurs a un compte yahoo, j'ai réinitialisé le mot de passe en répondant à la question secrète puis, dans la boîte aux lettres, j'ai trouvé son mot de passe twitter", a déclaré mercredi Hacker Croll dans un article en ligne. forum de discussion. "J'ai utilisé l'ingénierie sociale seulement, pas d'exploit, pas de vulnérabilité xss, pas de porte dérobée, injection np sql." Lundi, Goldman a envoyé un message sur Twitter disant que son compte de messagerie Yahoo avait été piraté.

En janvier, un autre hacker du nom de GMZ a déclaré qu'il pouvait accéder à un compte administratif en devinant le mot de passe d'un membre du personnel de support de Twitter. Le mot de passe aurait été un mot facile à deviner: le bonheur.

GMZ a ensuite utilisé cet accès pour prendre le contrôle de 33 comptes prestigieux, dont ceux de Spears, du président américain Barack Obama et de Fox News.

Twitter a également été frappé par plusieurs attaques de ver qui se propageaient rapidement sur le site.

Bien que le PDG de Biz Stone, Twitter, ait promis un "examen de sécurité complet de tous les points d'accès à Twitter". En janvier, la sécurité du site est "très faible", selon Manuel Dorne, le blogueur et chef de projet informatique français qui a publié le premier tweet Twitter.

Stone a fait une promesse similaire cette fois-ci. "Twitter prend la sécurité très au sérieux et nous allons procéder à un audit de sécurité complet et indépendant de tous les systèmes internes et mettre en œuvre des mesures anti-intrusion supplémentaires pour protéger davantage les données des utilisateurs", écrit-il jeudi. twitter.com reçoit une invite de connexion, et puisque les noms d'utilisateur de Twitter sont déjà publics, les attaquants n'ont plus qu'à deviner le mot de passe. Cela aurait pu être ce qui s'est passé avec le compte de Goldman, a déclaré Dorne. "Peut-être que le mot de passe était le nom de son enfant ou de sa femme et le hacker le savait."

Ces types d'attaques, appelées attaques d'ingénierie sociale par les chercheurs, sont efficaces et banales. L'année dernière, un hacker a utilisé la même technique décrite par Hacker Croll pour accéder au compte e-mail Yahoo de la candidate à la vice-présidence Sarah Palin.

"Nous devons être prudents et ne pas sous-estimer les attaques d'ingénierie sociale" James, co-fondateur de la société de conseil Secure Science, via un message instantané. "S'ils travaillent pour voler de l'argent aux banques, il sera trivial de détourner des réseaux sociaux tels que Twitter."