Piratage de Twitter : les employés ont été dupés avec du phishing par téléphone

Twitter partage de nouveaux détails sur le piratage qui a touché la plateforme le 15 juillet dernier, où des hackers ont pu accéder à des comptes vérifiés et poster des messages réclamant des bitcoins. Selon le réseau social, les accès ont pu être obtenus grâce à du phishing par téléphone.

On connaît déjà le phishing par e-mail où des hackers se font passer pour une administration publique (impôts par exemple) ou un service (banque par exemple) en adoptant la charte graphique des organismes pour que l’internaute tombe dans le panneau et donne ses identifiants ou ses données bancaires. Voilà maintenant le phishing par téléphone où les hackers ont appelé des employés de Twitter, ont réussi à se faire passer pour des collègues et ont obtenu leurs identifiants afin d’accéder aux outils internes.

The attack on July 15, 2020, targeted a small number of employees through a phone spear phishing attack. This attack relied on a significant and concerted attempt to mislead certain employees and exploit human vulnerabilities to gain access to our internal systems.

— Twitter Support (@TwitterSupport) July 31, 2020

« Cette attaque reposait sur une tentative importante et concertée de tromper certains employés et d’exploiter les vulnérabilités humaines pour accéder à nos systèmes internes », indique Twitter dans un tweet. Une fois l’accès obtenu pour les outils internes, les hackers ont visé 130 comptes, ont tweeté depuis 45 d’entre eux, ont accédé aux messages privés de 36 d’entre eux et ont téléchargé les données de sept d’entre eux.

« Nous avons considérablement limité l’accès à nos outils et systèmes internes », ajoute Twitter. La plateforme précise accélérer « plusieurs de nos travaux de sécurité préexistants » et améliorer « nos méthodes de détection et de prévention des accès inappropriés à nos systèmes internes ».

We’re accelerating several of our pre-existing security workstreams and improvements to our tools. We are also improving our methods for detecting and preventing inappropriate access to our internal systems and prioritizing security work across many of our teams.

— Twitter Support (@TwitterSupport) July 31, 2020