- Le piratage de Twitter a compromis la sécurité de milliers de comptes sur le réseau social pour promouvoir une escroquerie au vol de Bitcoin (BTC).
- Les pirates informatiques ont envoyé des bitcoins volés à Coinbase et BitPay.
Twitter a probablement connu l’un des pires piratages d’un réseau social. Hier, le 15 juillet, les comptes de milliers de personnalités du monde du spectacle, d’entrepreneurs, d’entreprises et autres ont été piratés pour promouvoir une escroquerie au vol de Bitcoin (BTC). Parmi les personnes touchées figurent le PDG de Tesla, Elon Musk, Bill Gates, l’ancien président américain Barack Obama, Kim et Kanye West, et bien d’autres encore.
Certains comptes piratés, tels que le crypto échange Gemini, ont fait l’objet de mesures de sécurité secondaires. Le co-fondateur et PDG d’Exchange, Tyler Winklevoss, a déclaré que le compte Gemini avait la vérification à deux facteurs (2FA) activée. Cependant, cela n’a pas affecté l’efficacité de l’attaque et a conduit à penser que les pirates avaient accès aux outils internes de Twitter. Le co-fondateur de Casa, James Loop, a affirmé que les attaquants avaient un accès au niveau racine au réseau social.
Une fois les comptes piratés, les attaquants ont posté un message de supposée solidarité en raison de la pandémie de coronavirus (Covid-19). Le message proposait une promotion avec Bitcoin pour aider « la communauté » des utilisateurs, comme le montre l’image ci-dessous. Le message proposait une adresse de portefeuille à laquelle les utilisateurs devaient envoyer des bitcoins.
Twitter donne quelques réponses
La société d’analyse de données Whitestream a enquêté et détecté des transactions provenant d’adresses associées aux bourses BitPay et Coinbase. Cette adresse, selon les chercheurs, a été l’une des premières utilisées par les pirates pour recevoir des fonds volés à la CTB. Whitestream a déclaré ce qui suit, en marquant Coinbase et BitPay :
Veuillez vérifier l’adresse Bitco_in suivante que B_itcoin a reçu de l’adresse d’annonce de l’escroquerie de l’attaquant : 1_Ai52Uw6usjhpcDrwSmkUvjuqLpcznUuy_F
Bien que les attaquants aient utilisé des adresses différentes, celui auquel le tweet Whitestream fait référence a reçu la majeure partie des fonds. Les pirates ont utilisé l’adresse de l’ancien format mentionnée, « 1_Ai52 ». A partir de là, les chercheurs ont pu déterminer que l’adresse appartient à des portefeuilles affiliés aux bourses BitPay et Coinbase. Les attaquants ont utilisé une adresse différente au format Bech32 pour attaquer d’autres comptes Twitter non liés aux cryptocurrences. Au moment de la publication, les pirates ont obtenu environ 140 000 dollars, soit 15 CTB. En outre, les chercheurs ont retracé 3 transactions à partir de cette adresse, avant l’attaque, vers Coinbase et BitPay et également vers l’échange CoinPayments.
Les chercheurs ont spéculé sur les adresses utilisées par les pirates informatiques. Cependant, ils n’ont pas déterminé la raison spécifique pour laquelle les pirates ont effectué les transactions vers les bourses, ni la raison du choix des adresses Bitcoin avec un ancien format. En général, il semble que les attaquants ont fait des expériences avec les adresses et les transactions avant de les pirater. Ce dernier point est déduit de l’absence d’outils d’anonymat utilisés par les attaquants et des options plus efficaces proposées par les membres de la communauté de la cryptographie, qui auraient permis aux attaquants d’en tirer plus de profit.
Twitter a subi de nombreuses attaques au cours des dernières 24 heures. En particulier, les membres de la communauté de la cryptographie ont souligné la futilité des systèmes centralisés pour assurer la sécurité de leurs utilisateurs. La réponse de Twitter a été relativement lente, probablement en raison de la massivité de l’attaque. Jack Dorsey, PDG de Twitter et passionné de Bitcoin, a partagé les résultats des recherches initiales.
Selon Twitter, le piratage était une « attaque coordonnée d’ingénierie sociale ». En outre, Twitter a révélé que ses employés ont d’abord été touchés par les pirates et ont ensuite été utilisés pour accéder aux comptes. Twitter continuera à enquêter pour déterminer si les attaquants ont commis d’autres actes malveillants. Dans l’intervalle, ils ont limité les fonctionnalités de certains comptes pour poursuivre l’enquête. Twitter a promis de nouvelles mises à jour dans un avenir proche.
Internally, we’ve taken significant steps to limit access to internal systems and tools while our investigation is ongoing. More updates to come as our investigation continues.
— Support (@Support) July 16, 2020
