Twitter partage de nouveaux détails sur le piratage qui a touché la plateforme le 15 juillet dernier, où des hackers ont pu accéder à des comptes vérifiés et poster des messages réclamant des bitcoins. Selon le réseau social, les accès ont pu être obtenus grâce à du phishing par téléphone.
On connaît déjà le phishing par e-mail où des hackers se font passer pour une administration publique (impôts par exemple) ou un service (banque par exemple) en adoptant la charte graphique des organismes pour que l’internaute tombe dans le panneau et donne ses identifiants ou ses données bancaires. Voilà maintenant le phishing par téléphone où les hackers ont appelé des employés de Twitter, ont réussi à se faire passer pour des collègues et ont obtenu leurs identifiants afin d’accéder aux outils internes.
« Cette attaque reposait sur une tentative importante et concertée de tromper certains employés et d’exploiter les vulnérabilités humaines pour accéder à nos systèmes internes », indique Twitter dans un tweet. Une fois l’accès obtenu pour les outils internes, les hackers ont visé 130 comptes, ont tweeté depuis 45 d’entre eux, ont accédé aux messages privés de 36 d’entre eux et ont téléchargé les données de sept d’entre eux.
« Nous avons considérablement limité l’accès à nos outils et systèmes internes », ajoute Twitter. La plateforme précise accélérer « plusieurs de nos travaux de sécurité préexistants » et améliorer « nos méthodes de détection et de prévention des accès inappropriés à nos systèmes internes ».
