Twitter - qui se remet encore de la récente attaque surréaliste dans laquelle des attaquants ont détourné 130 comptes appartenant à des personnalités éminentes et utilisé les poignées pour colporter une arnaque de bitcoin - a maintenant fait la lumière sur les circonstances qui ont mené à l'incident.
Selon l'enquête menée par l'entreprise, les attaquants ont utilisé l'ingénierie sociale pour cibler une poignée de ses employés via une « attaque de harponnage téléphonique » (précisions dans la version anglaise de la page).
Dans une attaque de harponnage typique, un criminel se fait passer pour une entité de confiance et envoie un e-mail ou un message instantané personnalisé à une cible bien documentée afin de voler les informations sensibles de la victime, telles que les identifiants de connexion ou les informations financières, ou de livrer des logiciels malveillants.
Dans le cas de Twitter, la brèche semble avoir impliqué des appels téléphoniques et s'est déroulée en plusieurs phases. « Tous les employés qui étaient initialement visés n'avaient pas l'autorisation d'utiliser les outils de gestion de compte, mais les attaquants ont utilisé leurs identifiants pour accéder à nos systèmes internes et obtenir des informations sur nos processus. Ces connaissances leur ont ensuite permis de cibler d'autres employés qui avaient accès à nos outils de gestion de compte », précise le géant des médias sociaux.
Les attaquants ont ensuite utilisé ces informations pour accéder aux outils dont ils avaient besoin pour leur grand projet - en infiltrant 130 comptes, en tweetant à partir de 45, en accédant aux messages directs (DM) de 36, et en téléchargeant des données à partir de sept. La société décrit l'attaque comme une « tentative importante et concertée de tromper certains employés et d'exploiter les vulnérabilités humaines. »
Twitter poursuit et souligne qu'à la lumière de l'attaque, elle a révisé ses mesures de sécurité et a sévèrement limité l'accès à ses outils et systèmes internes, pendant qu'elle enquête plus avant sur l'incident. L'entreprise a averti que cela pourrait conduire à une réduction de l'expérience utilisateur :
« En conséquence, certaines fonctionnalités (notamment l'accès à la fonction de téléchargement Your Twitter Data) et certains processus ont été touchés. Nous serons plus lents à répondre aux besoins de support des comptes, des Tweets signalés et des applications à notre plateforme de développement. »
La plateforme de médias sociaux a également annoncé qu'elle travaille à l'amélioration de ses méthodes concernant la prévention et la détection des accès et utilisations inappropriés de ses outils internes. Twitter a également promis de continuer à mener des exercices de formation anti-hameçonnage à l'échelle de l'entreprise.
LECTURE COMPLÉMENTAIRE: Mois de la prévention de la fraude: la prévention, l’affaire de tous!
Peu après la brèche de sécurité datant du 15 juillet, le compte détourné du PDG de Tesla, Elon Musk, a lancé un tweet disant (en anglais) « Je me sens généreux grâce avec Covid-19. Je vais doubler tout paiement de la CTB envoyé à mon adresse de la CTB pendant l'heure qui suit. Bonne chance, et restez en sécurité! »
Une vague de tweets similaires a suivi d'autres comptes piratés, dont ceux de Barack Obama, Joe Biden, Bill Gates et Jeff Bezos, entre autres. Le stratagème a apparemment fonctionné, puisque l'un des portefeuilles de cryptomonnaies a reçu 12,86 BTC (environ 117 000 dollars américains) en peu de temps.
Peu après l'incident, Motherboard, le journaliste en sécurité Brian Krebs et le New York Times ont tous publié des comptes-rendus intéressants sur ce qui a conduit à la brèche, avec des témoignages de personnes prétendument impliquées dans le stratagème.