Twitter go on de publier des informations sur son enquĂȘte sur une faille de sĂ©curitĂ© massive qui a entraĂźnĂ© un specific nombre de comptes de haut niveau dans des messages de spam dans une campagne d'escroquerie Bitcoin.




Comme beaucoup de snafus de sécurité avant lui, le fiasco Twitter a révélé que certains employés clés étaient victimes de l'ingénierie sociale. Selon la société de micro-blogging, les pirates ont lancé une attaque de phishing par téléphone qui impliquait des efforts «importants et concertés» pour duper les employés en leur donnant accÚs aux outils d'administration internes.

La violation de Twitter qui a touché Apple était le résultat d'une attaque de spear phishing

"Cette attaque reposait sur une tentative significative et concertée d'induire en erreur certains employés et d'exploiter les vulnérabilités humaines pour accéder à nos systÚmes internes", a déclaré Twitter dans un tweet jeudi. Un deuxiÚme tweet a déclaré: "En obtenant les informations d'identification des employés, ils ont pu cibler des employés spécifiques qui avaient accÚs à nos outils de assist de compte."

Comme indiqué par des rapports précédents et Twitter, les attaquants ont utilisé les privilÚges d'administrateur interne pour contourner les protections d'authentification à deux facteurs, en modifiant les informations de messagerie et de mot de passe des comptes ciblés. Le vecteur d'attaque a accordé un contrÎle whole sur plusieurs profils.



Twitter a fourni aujourd'hui des informations supplémentaires sur l'attaque, réitérant une déclaration précédente affirmant qu'un whole de 130 comptes Twitter avaient été ciblés dans l'opération. Des tweets ont été envoyés à partir de 45 comptes, dont Apple, Elon Musk et Jeff Bezos, tandis que les boßtes de réception DM de 36 ont été consultées. Les pirates ont en outre téléchargé des «données Twitter» non divulguées à partir de sept comptes, a indiqué la société.

Lors de l'attaque, des profils contrÎlés ont tweeté des messages demandant aux abonnés d'envoyer des bitcoins à un seul portefeuille. Les escrocs ont réussi avec approximativement 100 000 $.

Pour Apple, qui utilise son compte uniquement pour lancer des publicités et informer les abonnés des événements spéciaux à venir, l'arnaque Bitcoin était son leading tweet public.

Twitter go on d'enquĂȘter sur la faille de sĂ©curitĂ© et a mis en place de nouvelles sauvegardes dans le but de contrecarrer de futures tentatives.