Compte Twitter piraté ? Même les sociétés de sécurité ont du mal à revenir

by · October 18, 2022

Compte Twitter piraté ? Même les sociétés de sécurité ont du mal à revenir

Les rapports réguliers des sociétés de test antivirus du monde entier sont extrêmement utiles lorsque j’évalue un programme antivirus nouveau ou mis à jour. Je connais tous les joueurs, il n’est donc pas surprenant de recevoir un e-mail de l’équipe de direction d’un laboratoire, mais la demande dans un e-mail aussi récent était inhabituelle. Andreas Marx, PDG et co-fondateur de l’AV-Test Institute(Ouvre dans une nouvelle fenêtre), voulait savoir si j’avais des contacts internes sur Twitter. Il s’est avéré que le compte Twitter principal de l’AV-Test Institute, @avtestorg(Ouvre dans une nouvelle fenêtre)avait été piraté, et ses tentatives pour obtenir de l’aide de Twitter sont restées sans réponse.

Comment cela a-t-il pu arriver dans une entreprise avec plus de 15 ans d’expérience dans l’industrie de la sécurité ? Lorsque j’ai parlé avec Marx et Maik Morgenstern, CTO d’AV-Test et son autre PDG, j’ai appris que même lorsque vous faites tout correctement, vous pouvez toujours vous faire pirater. Au moment d’écrire ces lignes, le compte AV-Test continue d’envoyer et de retweeter des spams NFT aléatoires, plutôt que de fournir une assistance aux activités d’AV-Test et à ses clients.

Après la prise de contrôle du compte, le flux Twitter est remplacé par du spam

Après une prise de contrôle de compte, un flux Twitter est remplacé par du spam.

Le contexte d’une prise de contrôle de compte Twitter

Neil J. Rubenking : Comment avez-vous découvert pour la première fois que le compte avait été piraté ?
Andréas Marx: J’ai reçu un message WhatsApp d’un chercheur en sécurité bien connu, environ 10 minutes après le piratage du compte le 25 juillet, avec des captures d’écran du compte Twitter compromis. Peu de temps après, nous avons reçu d’autres notifications d’autres parties.

Quelle a été votre première réaction au piratage ?
Eh bien, j’ai essayé de me connecter à mon appareil mobile avec le compte Twitter, mais le compte @avtestorg n’était plus disponible. J’ai essayé de vérifier le compte sur mon PC, mais je n’ai pas pu me connecter et n’y ai vu que le compte Twitter compromis. (Twitter m’a en fait demandé de créer un nouveau compte !)

See also  Why is TikTok under attack from the US government?

Dans ma boîte de réception, j’ai vu trois e-mails de Twitter, tous en russe. Un e-mail de Twitter disait: “Пароль был изменён” (“Le mot de passe a été changé”) avec les informations “Недавно вы межанили пароль своей учетной правильно @avtestorg.” (“Vous avez récemment changé le mot de passe de votre compte @avtestorg.”). À peine deux minutes plus tard, cet e-mail est arrivé : “Адрес электронный почта для @avtestorg грузом” (“L’adresse e-mail de @avtestorg a changé”). Il a dit de confirmer en suivant un lien envoyé au nouvel e-mail et a conclu: “Si vous n’avez pas apporté ces modifications, veuillez contacter le support Twitter immédiatement.”

Avertissement de changement de mot de passe en russe

Avertissement de changement de mot de passe en russe (Crédit : PCMag)

Je suis allemand et j’utilise Twitter en allemand depuis une décennie, il semble donc que quelqu’un ait d’abord changé la langue par défaut.

À ma grande surprise, la nouvelle adresse e-mail du compte a été effacée (pas tout à fait visible) et j’ai vu le message indiquant que seule la nouvelle adresse doit être vérifiée. Ainsi, Twitter ne demande même pas si la personne derrière l’adresse e-mail actuelle est d’accord avec le changement de compte.

Quelles techniques avez-vous utilisées pour essayer de retrouver l’accès ?
Nous avons immédiatement contacté l’assistance Twitter et ouvert un dossier, “Restaurer l’accès – piraté ou compromis”, et fourni tous les détails pour récupérer notre compte. Quand rien ne s’est passé au bout de deux jours, nous avons déposé un nouveau dossier, avec le même résultat jusqu’à présent : rien.

Que recommande Twitter dans un cas comme celui-ci ?
Twitter suggère de contacter leur support via leur site Web”J’ai du mal à accéder à mon compte(Ouvre dans une nouvelle fenêtre).”

Quelle a été la réponse de Twitter ?
Il n’y a pas de réponse de Twitter jusqu’à présent, ni du signalement initial via le site, ni d’une deuxième demande deux jours plus tard. Nous avons également essayé de contacter le support via @TwitterSupport et de contacter Twitter par e-mail.

Eh bien, “pas de réponse” n’est pas tout à fait vrai. J’ai reçu une réponse d’un bot me demandant : “Twitter aimerait avoir vos commentaires. Cela ne devrait prendre que 2 minutes !” mais il vient d’un tiers.

See also  Startup helps startups: Meet the NC team that makes cybersecurity easier for early-stage companies

Qu’avez-vous appris de cette expérience?
Je dois admettre que je me sens encore totalement perdu. Plus d’une semaine s’est écoulée et il n’y a eu aucune réponse. En fait, je m’attendais à une réponse de Twitter après mes rapports d’une manière ou d’une autre, car les changements dans le compte et les publications sont très inhabituels. Le compte aurait dû au moins être bloqué à court terme, en attendant une vérification plus approfondie. Le compte est toujours là et nous n’y avons pas accès, il pourrait donc encore être utilisé par les acteurs malveillants.

Des conseils pour que les autres protègent leurs comptes Twitter ?
Nous avons utilisé un mot de passe fort et 2FA (authentification à deux facteurs) pour protéger le compte, mais il semble que cela n’ait pas suffi. Peut-être que l’attaquant n’a pas volé le mot de passe, mais a pris le contrôle d’une session active, il était donc déjà connecté et la plupart des fonctionnalités de sécurité sont alors désactivées. Je ne comprends toujours pas pourquoi le changement de compte de messagerie ne déclenchera pas une demande 2FA. Il y a certainement une faiblesse de Twitter ; d’autres réseaux sociaux gèrent cela beaucoup mieux.

Recommandé par nos rédacteurs

Ma recommandation forte est en fait pour Twitter, pas pour les autres utilisateurs. Avant de modifier l’adresse e-mail d’un compte, assurez-vous que la personne actuellement à l’origine de cette adresse e-mail accepte le transfert. Pour de nombreux autres sites Web et plateformes de médias sociaux, un lien ou un code de vérification est envoyé avant que le compte puisse être transféré, ou une autre forme de 2FA est nécessaire pour s’assurer que le compte ne peut pas être facilement piraté.

Et Twitter, veuillez répondre aux messages.

Que pouvez-vous faire pour protéger vos propres comptes ?

Lorsque même les experts ne peuvent pas empêcher une prise de contrôle de compte, vous pouvez compter sur la malchance. En vérité, vous pouvez faire beaucoup pour vous assurer que votre compte Twitter et d’autres comptes importants restent sécurisés. Commencez par les bases. Si vous n’avez pas encore de gestionnaire de mots de passe, procurez-vous-en un. Utilisez-le pour changer les mots de passe de vos comptes sensibles en quelque chose d’unique et d’aléatoire. Ne t’en fais pas; le gestionnaire de mots de passe les mémorise pour vous.

Logo PCMag Qu’est-ce que l’authentification à deux facteurs ?
See also  Kandji donne un coup de pouce à la sécurité de gestion des appareils mobiles d'Apple

Bien que les pirates de cette histoire semblent avoir fait une course sur l’authentification multifacteur, cela ne signifie pas qu’elle n’est pas utile. Lorsque vous utilisez plusieurs facteurs pour des comptes importants, il est beaucoup plus difficile pour quelqu’un de les pirater. Il y a de fortes chances qu’un pirate informatique occasionnel ignore votre compte et opte pour quelque chose de plus simple, comme un compte qui a un mot de passe “mot de passe” sans authentification supplémentaire.

Vous pouvez vous déconnecter de toutes les autres sessions Twitter

(Crédit : PCMag)

Marx a mentionné que le pirate informatique avait peut-être eu accès via une session Twitter active et déverrouillée. Vous pouvez contribuer à votre sécurité en vous déconnectant toujours lorsque vous avez terminé avec Twitter, ou au moins en vous assurant que vos ordinateurs et appareils intelligents sont bien sécurisés. Vous pouvez également afficher les sessions actives et passées directement depuis votre compte Twitter et cliquer sur un simple lien pour mettre fin à toutes les sessions sauf celle en cours.

Alors qu’est-ce que tu attends? Connectez-vous à votre compte Twitter dès maintenant et assurez-vous que l’authentification multifacteur le protège. Vérifiez les autres sessions – si l’une d’entre elles semble difficile, débranchez-la et éteignez-la toutes. Et assurez-vous de protéger ce compte avec un mot de passe fort, et non votre anniversaire ou le nom de votre chien.

Aimez-vous ce que vous lisez?

S’inscrire SecurityWatch newsletter pour nos meilleures histoires de confidentialité et de sécurité livrées directement dans votre boîte de réception.

Cette newsletter peut contenir des publicités, des offres ou des liens d’affiliation. L’inscription à une newsletter indique votre consentement à nos conditions d’utilisation et à notre politique de confidentialité. Vous pouvez vous désabonner des newsletters à tout moment.

Related posts:

  1. Avertissement urgent pour MILLIONS concernant l’espionnage WhatsApp “piraté” sur votre iPhone ou Android
  2. Comment savoir qu’un partenaire a piraté votre téléphone – les 10 “avertissements” sur les logiciels espions
  3. Les pirates ont soumis des demandes CERB en utilisant 12 700 comptes authentiques de l’ARC
  4. Comment pirater le temps d’écran [Ways Kids Bypass iOS Parent Controls]

Tags:

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *