Twitter confirme avoir été piraté pour de la cryptomonnaie

Les comptes Twitter de Bill Gates, Elon Musk, Joe Biden, Apple et Uber ont tous été piratés en même temps pour partager une arnaque de cryptomonnaie.

Twitter a verrouillé des milliers de comptes vérifiés appartenant à des particuliers et à des entreprises la semaine dernière dans le but d’empêcher les pirates de perpétrer une arnaque massive de crypto-monnaie. Les comptes ont été victimes d’une compromission des systèmes internes de l’entreprise par un groupe de pirates non identifiés qui ont réussi à accéder aux outils internes de l’entreprise et à obtenir les privilèges des employés.

Les comptes de Bill Gates, Elon Musk, Apple et Uber et de nombreux autres utilisateurs de Twitter très suivis ont été victimes de l’attaque sur le back-end de la compagnie. Les tweets envoyés à partir de ces comptes piratés promouvaient chacun une escroquerie de cryptomonnaie sur des frais anticipés, promettant de doubler la valeur de la devise Bitcoin envoyée à un portefeuille spécifique.

«C’est 100% sans précédent», a déclaré Satnam Narang, ingénieur de recherche chez Tenable. «Nous n’avons jamais vu un nombre aussi important et simultané de comptes Twitter détournés en même temps», a-t-il déclaré.

Twitter a publié une série de tweets expliquant que les comptes compromis étaient le résultat d’une attaque d’ingénierie sociale.

«Nous avons détecté ce que nous croyons être une attaque d’ingénierie sociale coordonnée par des personnes qui ont ciblé avec succès certains de nos employés qui avaient un accès aux systèmes et outils internes», a tweeté la société. «Nous savons qu’ils ont utilisé cet accès pour prendre le contrôle de nombreux comptes très visibles (y compris vérifiés) et tweeter en leur nom.

Les attaques ont commencé vers 15 heures ET (21 heures en France) le 15 Juillet, selon Narang, et les premiers comptes ciblés étaient @bitcoin, @ripple, @coindesk, @coinbase et @binance. Les tweets envoyés à partir de ces comptes piratés ont poussé les abonnés de ces comptes de crypto-monnaie à visiter le site Web CryptoForHealth.

twitter

«Nous nous sommes associés à CryptoForHealth et redonnons 5000 BTC à la communauté», lit-on dans un tweet typique. Le site lié à une adresse de portefeuille Bitcoin.

En quelques heures, le site Web a été supprimé. Mais peu de temps après la suppression du site, un nombre important de comptes d’utilisateurs Twitter vérifiés a commencé à envoyer un message similaire faisant la promotion de la même arnaque. Le compte Twitter de Bill Gates, par exemple, a tweeté: «Tout le monde me demande de redonner, et c’est le moment. Je double tous les paiements envoyés à mon adresse BTC pendant les 30 prochaines minutes. “

À l’époque, Twitter avait reconnu la prise de contrôle massive du compte dans un tweet déclarant: «Nous sommes au courant d’un incident de sécurité affectant les comptes Twitter. Nous étudions et prenons des mesures pour y remédier. Nous mettrons tout le monde au courant sous peu. » Dans un tweet suivant ce dernier, l’équipe d’assistance Twitter a déclaré: “Vous ne pourrez peut-être pas tweeter ou réinitialiser votre mot de passe pendant que nous examinons et traitons cet incident.”

Pour tenter de contrecarrer les escrocs, Twitter a «verrouillé» ses comptes vérifiés. D’autres efforts ont été déployés par le bureau de change numérique Coinbase, qui a empêché les utilisateurs d’envoyer de l’argent à l’adresse Bitcoin.

twitter

“Parce que les tweets proviennent de ces comptes vérifiés, les chances des utilisateurs de faire confiance au site Web CryptoForHealth ou à la prétendue adresse Bitcoin sont encore plus grandes”, a déclaré Narang.

“Il s’agit d’une cible en évolution rapide et jusqu’à présent, plus de 50 000 $ ont été reçus par l’adresse Bitcoin présentée sur le site Web CryptoForHealth et dans les tweets d’Elon Musk et Bill Gates.”

L’agence de presse Bloomberg faisait un reportage à 16 h 45 (ET) (22h45 en France) annonçant que l’adresse Bitcoin avait amassé 12 Bitcoins, d’une valeur d’environ 110 000 $ (95 000€).

Les comptes Twitter détournés appartiennent à: Joe Biden, Kim Kardashian West, Wiz Khalifa, Warren Buffett, Apple, Wendy’s, Jeff Bezos, Binance, Barack Obama et Mike Bloomberg.

Twitter a rapidement mis fin aux théories

James McQuiggan, défenseur de la sensibilisation à la sécurité chez KnowBe4, a déclaré que l’attaque sur Twitter pourrait être liée à un système d’accès tiers permettant à un pirate d’accéder à des comptes. Cette théorie, ainsi que d’autres explications plausibles des comptes compromis, ont été mises à mal lorsque Twitter a déclaré que les attaques étaient basées sur l’ingénierie sociale. Cependant, de nombreuses questions subsistent sur la manière dont les pirates informatiques ont pu infiltrer l’une des plus grandes plateformes de réseaux sociaux dans le monde.

Certaines théories de chercheurs étaient assez proche de la vérité .

“Une explication beaucoup plus préoccupante pourrait être que les cybercriminels ont eu accès à ces comptes ou se sont peut-être frayés un chemin dans un compte d’employé Twitter, et ont inévitablement pénétré les systèmes administratifs du backend “, a déclaré McQuiggan.

La théorie de McQuiggan avait été appuyée par les informations de Motherboard qui avaient rapporté que des pirates informatiques avaient convaincu un employé de les aider à détourner des comptes. Selon le rapport, les pirates se seraient coordonnés avec un employé de Twitter et l’aurait payé pour avoir accès au back-end. Des captures d’écran du compte Twitter de Binance ont été fournies aux journalistes de Motherboard par quatre pirates non identifiés. Les captures d’écran, selon le rapport, montrent des pirates informatiques contrôlant un outil interne utilisé pour détourner les comptes.

Plus tôt cette année, plus d’une douzaine de comptes Twitter d’équipes de la NFL avaient été piratés. Un groupe de hackers autoproclamé «chapeau blanc» appelé OurMine Security a revendiqué cette attaque et utilisé l’incident pour promouvoir ses propres services de cybersécurité.

Kelvin Coleman, directeur exécutif de la National Cybersecurity Alliance, avait déclaré que la taille et la portée des prises de contrôle de compte suggéraient qu’elles étaient liées aux informations d’identification compromises d’un employé. Il a déclaré que l’attaque était «très probablement due à quelque chose d’aussi simple qu’un employé étant victime d’une attaque d’hameçonnage – qui a ensuite permis à un seul acteur ou groupe malveillant d’accéder à ces comptes de l’intérieur. Les autres plates-formes devraient considérer cela comme une expérience d’apprentissage significative pour garantir qu’une violation de cette ampleur ne se reproduira plus.”

Si cet article vous a plu, jetez un œil à notre article précédent.