IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Twitter victime d’une attaque ayant entrainé l’accès aux données de 250 000 comptes


Sujet :

Sécurité

  1. #1
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    Janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2007
    Messages : 4 570
    Points : 252 372
    Points
    252 372
    Billets dans le blog
    121
    Par défaut Twitter victime d’une attaque ayant entrainé l’accès aux données de 250 000 comptes
    Twitter victime d’une attaque ayant entrainé l’accès aux données de 250 000 comptes
    plusieurs grands sites de médias également touchés

    Twitter, le célèbre site de micro-blogging, a été victime d’une attaque en fin de semaine dernière.

    Selon le billet de blog de Bob Lord, directeur de la sécurité chez Twitter, son équipe a détecté des accès inhabituels la semaine dernière qui, après analyse, se sont révélés être une attaque directe vers la plateforme.

    Bien que l’attaque ait été rapidement bloquée, les assaillants auraient eu accès aux données confidentielles de 250 000 utilisateurs, notamment les mots de passe, les noms d’utilisateurs et les adresses mail.

    Par mesure de précaution, les mots de passe de ces comptes ont été réinitialisés, malgré qu’ils fussent cryptés. Les possesseurs des comptes affectés devraient recevoir un mail les invitant à renseigner un nouveau mot de passe. Twitter recommande aux utilisateurs de définir des mots de passe complexes, d’au moins dix caractères (chiffres et lettres).

    Pour Bob Lord, cette attaque pourrait faire partie d’une campagne sophistiquée, ciblant les grands sites de médias : « Cette attaque n’était pas l’œuvre d’amateurs et nous ne croyons pas qu’il s’agissait d’un incident isolé. Les assaillants étaient extrêmement sophistiqués et nous pensons que d’autres organisations ont été également attaquées récemment de façon similaire », note celui-ci.

    Le directeur de la sécurité de Twitter cite par exemple les récentes attaques contre le New York Times et le Wall Street Journal.

    Sans toutefois établir un lien entre les failles Java et cette attaque, Bob Lord évoque également les vulnérabilités du langage de développement pouvant être exploitées via le navigateur et conseille aux utilisateurs de désactiver le plug-in Java.



    Source : Blog Twitter


    Et vous ?

    Que pensez-vous de cette attaque ? Existe-t-il un lien avec les vulnérabilités Java ?
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Membre émérite

    Homme Profil pro
    Software Developer
    Inscrit en
    Mars 2008
    Messages
    1 470
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Royaume-Uni

    Informations professionnelles :
    Activité : Software Developer

    Informations forums :
    Inscription : Mars 2008
    Messages : 1 470
    Points : 2 368
    Points
    2 368
    Par défaut
    Java a le bon dos et est meme maintenant responsable de la faible sécurité des sites Américains.

  3. #3
    Membre extrêmement actif
    Avatar de benjani13
    Homme Profil pro
    Consultant en sécurité
    Inscrit en
    Février 2010
    Messages
    615
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Consultant en sécurité

    Informations forums :
    Inscription : Février 2010
    Messages : 615
    Points : 2 824
    Points
    2 824
    Par défaut
    Je me pose une question. Les données volées ont-elles une réelles valeur pour les assaillants? Si oui lesquelles?

    Ou est-ce juste une démonstration de force?

  4. #4
    Membre émérite

    Homme Profil pro
    Software Developer
    Inscrit en
    Mars 2008
    Messages
    1 470
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Royaume-Uni

    Informations professionnelles :
    Activité : Software Developer

    Informations forums :
    Inscription : Mars 2008
    Messages : 1 470
    Points : 2 368
    Points
    2 368
    Par défaut
    Citation Envoyé par benjani13 Voir le message
    Je me pose une question. Les données volées ont-elles une réelles valeur pour les assaillants? Si oui lesquelles?

    Ou est-ce juste une démonstration de force?
    Ils ont déja obtenu pleins d'adresses emails valides (qui se revendent) et surtout sont maintenant capables de lier les informations sur Twitter avec la personne.
    Exemple: Facebook a fait un nouveau moteur de recherche, a mon avis ils seraient intéressé d'avoir la liste des emails/hashtage. Si l'email correspond a un de leur utilisateur, il leur est ensuite simple d'obtenir toutes ses informations sur Twitter et d'ainsi améliorer ses publicités ciblées et son Social Search flambant neuf.

    Tu as raison c'est aussi une démonstration de force, du genre "on est largement meilleur que vous" et "on va vous apprendre notre facon de traiter avec nous".
    A ce jour les attaques sont mises sur le dos d'un groupe n'appartenant pas au gouvernement et il est donc difficile d'accuser le gouvernement.
    D'ailleurs qui nous dit que ce sont les Chinois qui hackent les USA (et pas un autre gouvernement qui envoie ses attaques depuis des réseaux chinois), n'est-ce pas plutot une simple invention purement politique et se fansant passer pour des victimes (les USA des victimes ce serait leur comble). Peut-etre que l'Iran pourrait nous éclairer a ce sujet a propos des Stuxnet, Flame et compagnie.
    Les Américains essaient d'éviter de perdre leur monopole technologique qui rapporte beaucoup au pays, et meme n'hésitent pas a "acheter" la France (c'est ce que la presse, dont Américaine, juge l'accord entre Google et notre Presse) et d'autres pays.
    La roue tourne et ils vont devoir s'y habituer.
    En tout cas vaste débat, mais Oracle (Sunn) n'est pas responsable des déboires des USA et des manoeuvres politiques.

  5. #5
    Nouveau membre du Club
    Profil pro
    Inscrit en
    Octobre 2011
    Messages
    71
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Octobre 2011
    Messages : 71
    Points : 39
    Points
    39
    Par défaut
    Citation Envoyé par alex_vino Voir le message
    Exemple: Facebook a fait un nouveau moteur de recherche, a mon avis ils seraient intéressé d'avoir la liste des emails/hashtage. Si l'email correspond a un de leur utilisateur, il leur est ensuite simple d'obtenir toutes ses informations sur Twitter et d'ainsi améliorer ses publicités ciblées et son Social Search flambant neuf.
    Peut-être que c'est Facebook (des employés) qui ont fait (participé) à cette attaque...

  6. #6
    Membre émérite

    Homme Profil pro
    Software Developer
    Inscrit en
    Mars 2008
    Messages
    1 470
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Royaume-Uni

    Informations professionnelles :
    Activité : Software Developer

    Informations forums :
    Inscription : Mars 2008
    Messages : 1 470
    Points : 2 368
    Points
    2 368
    Par défaut
    Sachant que ces entreprises profitent des paradis fiscaux pour ne pas payer de taxe ils pourraient utiliser cet argent venant des contribuables (comme on compense en payant ce qu'ils ne paient pas) pour investir en sécurité.

    Citation Envoyé par matios Voir le message
    Peut-être que c'est Facebook (des employés) qui ont fait (participé) à cette attaque...
    C'est comme le premier homme sur la lune (ou plus récent les attentats du 11 septembre / Pentagone), la vérité on ne la saura peut-etre jamais.
    D'ailleurs je recherche toujours la photo du corps de Ben Laden...

  7. #7
    Membre éclairé Avatar de rt15
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Octobre 2005
    Messages
    262
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Octobre 2005
    Messages : 262
    Points : 665
    Points
    665
    Par défaut
    Citation Envoyé par benjani13 Voir le message
    Je me pose une question. Les données volées ont-elles une réelles valeur pour les assaillants? Si oui lesquelles?

    Ou est-ce juste une démonstration de force?
    En 2013, une adresse mail valide a un prix.
    C'est acheté par les boîtes qui spamment.

    Ensuite, une adresse mail valide et un mot de passe twitter c'est encore plus cher.
    Car le mot de passe twitter est peut être le même que celui de l'adresse mail.
    Et il y a tout un tas de gens qui sont prêts à acheter ça pour vérifier si le mot de passe est le même pour aller consulter des boîtes mails au hasard, car on peut y trouver des informations qui peuvent rapporter elles même de l'argent (Compte et mot de passe pour des sites marchands à la amazon par exemple).
    On peut aussi ne serait ce que récupérer la liste des contact de la personne -> Nouvelles adresses mails valide valant elle même de l'argent.

    Bref, d'un point de vue cyber-criminalité, c'est un très bon coup.
    Mais peut être que c'est une démonstration de force et que les informations ne seront pas vendues ou utiliser ? Difficile de deviner sans revendication.

    Mais bon concernant les mots de passes, tout dépend de la qualité du "encrypted". Je suppose qu'ils ont voulu dire hashed d'ailleurs.

Discussions similaires

  1. GitHub victime d’une attaque DDoS depuis plus de 5 jours
    Par Amine Horseman dans le forum Sécurité
    Réponses: 2
    Dernier message: 05/04/2015, 00h47
  2. Réponses: 0
    Dernier message: 08/03/2014, 16h55
  3. Réponses: 0
    Dernier message: 26/03/2013, 10h24
  4. Réponses: 0
    Dernier message: 21/02/2010, 12h47
  5. Twitter victime d'une deuxième attaque
    Par Gordon Fowler dans le forum Actualités
    Réponses: 26
    Dernier message: 13/08/2009, 12h10

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo