Vidéo: LES TWEETS DES FOOTBALLEURS... AVANT DE PERCER ! (Décembre 2024)
Les attaquants ont peut-être eu accès à 250 000 comptes sur Twitter, a déclaré le site de microblogging. Il est temps de changer votre mot de passe… encore une fois.
L’équipe de sécurité du site a identifié plusieurs tentatives d’accès par des personnes non autorisées pour accéder aux données des utilisateurs cette semaine, a déclaré Bob Lord, directeur de la sécurité de l’information, sur le blog Twitter vendredi après-midi. La société a également découvert "une attaque en direct" et l'a fermée alors qu'elle était encore en cours, quelques instants plus tard, a déclaré Lord.
Une enquête plus approfondie a révélé que les attaquants pouvaient accéder à un sous-ensemble de données utilisateur, comprenant des noms d'utilisateur, des adresses électroniques, des jetons de session et des mots de passe chiffrés / salés, appartenant à environ 250 000 utilisateurs, a admis Twitter dans la publication. Lord n'a pas fourni d'informations supplémentaires sur la violation de la sécurité, ni précisé si l'un des comptes exposés avait été utilisé illégalement.
"Par mesure de sécurité préventive, nous avons réinitialisé les mots de passe et révoqué les jetons de session pour ces comptes", a déclaré Lord.
Paul Ducklin de Sophos explique ce que les attaquants peuvent faire avec un jeton de session volé sur le blog NakedSecurity.
Réinitialiser les mots de passe!
Après avoir réinitialisé les mots de passe exposés, Twitter a averti les utilisateurs concernés par courrier électronique afin de créer un nouveau mot de passe. Les utilisateurs de messagerie recommandaient aux utilisateurs de sélectionner un mot de passe fort (au moins 10 caractères) et de ne le réutiliser sur aucun autre site ou compte, pour se protéger. Bien entendu, un mot de passe de plus de 10 caractères est également préférable.
Si l'utilisateur avait un mot de passe faible, le fait que Twitter ait salé et crypté les mots de passe ne serait pas d'une grande aide, car les attaquants peuvent utiliser divers outils de déchiffrement du mot de passe pour déterminer le type de mot de passe d'origine. Et si les utilisateurs avaient utilisé le même mot de passe pour d'autres sites en ligne, ce serait la clé du royaume de l'identité de l'utilisateur, ici même.
L'email de notification de Twitter est cryptique, c'est le moins qu'on puisse dire. Il ne mentionne pas l'attaque du tout, ni ne crée de lien vers le blog. Il informe simplement l'utilisateur que le mot de passe a peut-être été compromis et propose à l'utilisateur un lien sur lequel cliquer pour réinitialiser le mot de passe. Il y a un autre lien vers d'autres parties du site dans l'email.
La lettre "avait toutes les caractéristiques d'un courrier électronique de phishing", écrit Simon Phipps, un utilisateur de Twitter. "Les utilisateurs ne doivent PAS être formés pour accepter cela", at-il ajouté.
Chez SecurityWatch, nous l’ avons déjà dit et nous le répéterons encore: ne cliquez pas sur les liens contenus dans les courriels. N'importe qui peut simuler une telle note et l'envoyer à des utilisateurs aléatoires. Comme Phipps l'a noté dans un tweet différent, il serait "difficile à dire tout de suite". Il a été rapporté sur Twitter qu'une campagne de spam était peut-être déjà en cours.
Si vous recevez un courrier électronique vous demandant de réinitialiser votre mot de passe Twitter, prenez une seconde pour aller manuellement sur le site de Twitter et cliquez sur le lien "Mot de passe oublié". Si vous devez cliquer sur un lien dans un email, cliquez au moins sur un lien dans l'email que vous avez demandé.
Whodunnit? Qui sait?
Lord n'a pas spéculé sur l'origine des attaques.
"Cette attaque n'était pas l'œuvre de simples amateurs et nous ne pensons pas qu'il s'agisse d'un incident isolé. Les attaquants étaient extrêmement sophistiqués et nous pensons que d'autres sociétés ont également été attaquées de manière similaire", a déclaré Lord.
Cependant, le message de Lord mentionne les attaques contre le New York Times en Chine cette semaine et le récent avis du Department of Homeland Security recommandant aux utilisateurs de désactiver Java dans leurs navigateurs. Bien que Twitter utilise apparemment Java dans son infrastructure, il ne semble pas y avoir d'applet Java sur le site lui-même, aussi la recommandation de désactiver Java dans le navigateur est déconcertante dans ce contexte.
Les autorités fédérales et les forces de l'ordre enquêtent sur cet incident, a déclaré Twitter.
