in

Les pirates Bitcoin de Twitter avaient un accès presque illimité

Juste des pirates qui brûlent un jour comme si c’était une vente de feu

Imaginez obtenir les clés du royaume Twitter – accéder à tous les panneaux d’administration de compte dans le monde. Qu’est-ce que tu ferais? Vous pouvez saisir des comptes de grande valeur et les vendre sur le marché noir. Vous pouvez extraire du matériel de chantage d’une valeur inimaginable des DM. Ou peut-être que vous attendriez un événement comme les prochaines élections américaines pour lancer un plan diabolique quelconque.

Mais si vous êtes un attaquant chevronné, vous ne ferez pas sauter votre propre couverture en tweetant des plus grands comptes du monde – pour une arnaque Bitcoin. Bien sûr, certains ont postulé que les tweets de spam de crypto-monnaie étaient une distraction pour quelque chose de plus grand qui se passait en arrière-plan. Peut-être que les attaquants ont déjà fait leurs trucs sournois et sont prêts à faire ce qu’on appelle « brûler votre 0day ».

Et mon garçon, ont-ils brûlé ce très bon jour, chaud, brillant et rapide.

La réponse de Twitter – cinq heures plus tard inquiétantes – a été de faire quelque chose que peu de gens savaient que l’entreprise avait le pouvoir de faire: verrouiller tous les comptes vérifiés à travers le monde. Malheureusement, cela revient à découvrir qu’un cambrioleur est dans votre maison parce qu’il a commencé à diffuser de la musique dans votre salon, et votre réponse est d’éteindre toutes les lumières.

Sauf geler les «chèques bleus», c’est en fait pire, car de nombreux services d’urgence essentiels dans le monde utilisent Twitter comme canal de communication essentiel. Comme le National Weather Service, qui s’est trouvé soudainement incapable de tweeter les alertes météo.

Le gel des comptes semble être une décision régie par la panique. Twitter semblait n’avoir aucune idée de ce qui se passait ni comment l’arrêter. Et wow, avons-nous des questions sur qui, quoi, pourquoi et les implications futures de tout cela.

Dans un fil de tweet publié pendant et après l’attaque par piratage, Twitter a écrit: « Nous avons détecté ce que nous pensons être une attaque d’ingénierie sociale coordonnée par des personnes qui ont réussi à cibler certains de nos employés avec accès aux systèmes et outils internes. »

Le blocage du compte vérifié a également eu un impact sur la capacité de ces utilisateurs à réinitialiser leurs mots de passe.

Twitter a mis le fil entre crochets avec une mise en garde que son enquête est «en cours».

Ne t’inquiète pas, les riches célébrités iront bien

Les comptes compromis comprenaient Jeff Bezos, Bill Gates, Elon Musk, Bill Gates, Barack Obama, Apple, Kanye West, Joe Biden, Uber, Mike Bloomberg, Floyd Mayweather, Wiz Khalifa et d’autres. Twitter a mis à jour jeudi soir son fil de support de rapport d’incident en cours pour indiquer que 130 comptes ont été touchés par l’attaque.

Le problème est que les tweets semblaient normaux à quiconque suit Kanye ou Elon Musk, qui tweetent régulièrement des claptrap fous à la John McAfee, et un nombre important de personnes sont tombées dans l’arnaque. Comme nous l’avons signalé hier, le transport s’élevait à environ 118 000 $ et «Au moment de la rédaction de cet article, tous sauf 114 $ de ce transport de 118 000 $ ont été transférés vers d’autres portefeuilles.»

C’est une somme dérisoire, surtout lorsque, selon Glassdoor, le bas de gamme de ce que la plupart des ingénieurs de Twitter gagnent 131 403 $ par an. Il s’agissait d’une intrusion avec un impact énorme, un potentiel de portée extrême et de graves dommages.

Vous supposeriez que les assaillants voulaient plus que ce qu’il faut pour manger et dormir dans les quartiers pauvres de San Francisco. Mais encore une fois, même si l’attaque a commencé par une escroquerie Bitcoin légèrement différente, les auteurs ont rendu public immédiatement, garantissant qu’ils seraient découverts et arrêtés immédiatement.

Bien sûr, une possibilité très forte est que les assaillants étaient vraiment très mauvais en matière de crime.

De nombreux observateurs ont immédiatement supposé que ces comptes de haut niveau devaient avoir des normes de sécurité laxistes ou ne pas avoir deux facteurs activés. Cependant, . a rapporté que « plusieurs utilisateurs avec une authentification à deux facteurs – une procédure de sécurité qui aide à prévenir les tentatives d’effraction – ont déclaré qu’ils étaient impuissants à l’arrêter. »

'Liste noire' Twitter

Carte mère / Vice

Motherboard a obtenu des commentaires anonymes de sources sur Twitter qui ont déclaré que les reprises de comptes avaient été effectuées via l’accès à un outil de gestion de compte interne; Vice a publié des captures d’écran de l’outil (alors que quiconque sur Twitter publiant les mêmes captures d’écran a été mis en prison Twitter très rapidement).

Si Twitter essayait d’arrêter la diffusion de ces images, c’est bien Internet après tout. Ils se propagent rapidement sur les sites d’actualités et les forums. Les captures d’écran interdites du hack ont ​​révélé la présence de boutons de «liste noire» sur les pages de compte individuelles. Beaucoup veulent maintenant savoir, est-ce que nous voyons cette preuve de shadowban et de liste noire?

Les utilisateurs de Twitter qui travaillent dans et autour de la sexualité humaine ont affirmé pendant des années qu’ils étaient «bannis» par Twitter, la pratique consistant à faire taire les comptes en les cachant de diverses manières. Ce n’est que récemment que les théoriciens du complot d’extrême droite ont coopté le concept shadowban pour «jouer le [censorship] refs »en leur faveur. Désormais, Twitter sera confronté à des questions directes auxquelles il a eu du mal à ne pas se confronter de front.

Lorsqu’il a été contacté pour commenter les boutons de «liste noire» vus sur les pages de compte dans l’outil de gestion compromis de Twitter, le porte-parole de la société n’a pas directement répondu à la question. Au lieu de cela, ils ont dit par e-mail: «Depuis juillet 2018, nous avons clairement indiqué que nous ne faisions pas de shadowban.»

Le représentant de Twitter a inclus une liste standard de la politique de Twitter sur l’inclusion et l’exclusion de contenu de Trends, la notoriété du contenu, la politique d’exclusion de hashtag des sujets tendance et les règles et restrictions de recherche.

Une autre source a déclaré à Motherboard que l’employé prétendument compromis de Twitter avait été payé pour sa participation au programme Bitcoin à faible loyer. « Un porte-parole de Twitter a déclaré à Motherboard que la société était toujours en train d’enquêter pour savoir si l’employé avait détourné les comptes lui-même ou avait donné accès à l’outil à des pirates », a écrit Vice.

Étant donné que l’outil permettait la gestion des comptes, cela a confirmé les premières hypothèses selon lesquelles les attaquants avaient non seulement la possibilité de modifier les e-mails de compte et de réinitialiser les mots de passe, mais aussi qu’ils leur accordaient l’accès aux messages directs (DM) des utilisateurs ciblés. C’est un problème époustouflant, étant donné que de nombreuses personnes – y compris des célébrités et des politiciens – ne comprennent pas que les DM Twitter ne sont pas protégés par un cryptage de bout en bout et ne sont pas particulièrement sécurisés.

Le sénateur Ed Markey (D-MA) a répondu exactement à cela dans une déclaration disant que Twitter «doit divulguer pleinement ce qui s’est passé et ce qu’il fait pour que cela ne se reproduise plus». Cela s’ajoutait au fait que le sénateur Josh Hawley (R-MO) a envoyé une lettre de colère à Jack Dorsey et que le sénateur Ron Wyden (D-OR) a publié une déclaration similaire, ajoutant que «c’est une vulnérabilité qui dure depuis trop longtemps».

Le sénateur américain Ron Wyden, D-Ore., Prend la parole lors d'une audience du comité sénatorial des finances sur le programme de politique commerciale 2020 du président Donald Trump à Capitol Hill à Washington, DC, États-Unis, le 17 juin 2020. Anna Moneymaker / Pool via REUTERS

POOL New / .

Ce qui est intéressant à souligner, si la «vulnérabilité» en question était un employé rémunéré – la vulnérabilité était humaine. Cela signifie que l’attaque n’était pas nécessairement aussi technique que c’était un exploit capital d’ingénierie sociale. Il s’agirait très probablement d’une attaque d’ingénierie sociale en contrepartie, dans laquelle la vulnérabilité humaine se voit offrir quelque chose en échange de l’accès, des informations ou des informations d’identification que l’attaquant souhaite.

Il est également plausible que l’attaquant ait utilisé le prétexte, où il prétend être une personne ayant un besoin légitime d’accès, en s’appuyant sur la confiance et la crédulité de la victime. (« Non, je le jure, j’ai vraiment besoin de rentrer dans le placard de ce serveur. ») Une autre possibilité serait l’appâtage, ou un appât et un interrupteur dans lequel l’attaquant pourrait tromper un employé en insérant une clé USB ou un fichier malveillant dans un ordinateur pour le compromettre.

Bien que ce soit certainement un énorme œil au beurre noir pour Twitter, ce qui pourrait être plus intéressant à explorer, c’est ce que l’attaque nous dit sur qui a fait cela, et pourquoi. C’est quelque chose que nous découvrirons probablement, sur la base de l’excellent argument de mon collègue selon lequel le bitcoin n’est pas réellement anonyme et que cacher la piste de conversion du butin n’est pas anodin. Certainement pas pour les pirates qui ont décidé de transformer ce qui aurait pu être le braquage du siècle en un bitcoin maladroit et qui n’ont même pas interdit un seul nazi dans le processus.

Mainichi Weekly publie des mangas abrégés Barefoot Gen en anglais en ligne – Actualités

Worms Armageddon vient de recevoir un patch majeur 21 ans après sa sortie