BlogBang

Pirater un compte Twitter, finalement, c’est assez simple

Par Korben

twitterhackix7 Pirater un compte Twitter, finalement, cest assez simple

Il y a quelques jours, plusieurs comptes Twitter ont été piratés... Parmi eux, des comptes « célèbres»  comme celui de Barack Obama, Britney Spears, Kevin Rose ou Foxnews… Celui qui a fait le coup a 18 ans et voici comment il s’y est pris…

Il a d’abord localisé un compte qui était très actif… Coup de bol, il s’agissait d’un employé de Twitter. Il a ensuite tout simplement bruteforcé avec un dictionnaire de mots courants en anglais, le fameux compte et en une nuit, il a pu trouver le mot de passe de cet admin de Twitter.

Et ensuite ? Et bien apparement, quand on est admin sur Twitter, on a dans son interface un accès qui permet de réinitialiser le mot de passe de n’importe quel compte… Se rendant compte que le hack pouvait lui attirer plus d’ennui (il n’a pas utilisé de proxy), il s’est arrêté là mais a posté sa technique ainsi que la vidéo ci-dessous sur un forum de petits hackeurs (Digital Gangster).



Du coup, le reste de la bande s’est amusé à poster des messages délirant, usurpant l’identité de gros comptes Twitter

http://www.korben.info/wp-content/uploads/img262.imageshack.us//200901051249.jpg

http://www.korben.info/wp-content/uploads/img262.imageshack.us//foxtwitter.jpg

http://www.korben.info/wp-content/uploads/img262.imageshack.us//britneytwitter.jpg

Bref, marrant pour certains, flippant pour d’autre, la faille provient finalement des responsables de Twitter eux-même qui ont utilisés des mots de passe « faibles»  en terme de cracking et qui surtout n’ont pas implémenté de limites au niveau du nombre d’essais ratés de login… Le bruteforcing avec un petit script étant alors énormément simplifié.

Y’a plus qu’à revoir votre copie, messieurs les TwittAdmins :-)

[source]

Je vous recommande aussi la lecture des sujets suivants


Faites un lien vers cette news sur votre site



14 commentaires

  1. Webinside - Blog d’Hervé Delvaux » 33 gros profils sur Twitter se sont fait hackés Reply to this comment


    [...] comment on-t-il fait ? Je vous invite à lire le poste de Korben à ce sujet. Hervé — 8 janvier 2009 @ 10:28 Classé dans : Internet, Web 2.0 Tag: [...]

    Posté le 8 janvier 2009 à 10:21:15

  2. Geoffrey Dorne Reply to this comment


    La loose pour eux ! Je pense également à tous les sites dérivés de twitter pour connaitre sa « twitter influence» , ou ses « twitter stat’s» .. La plupars de ces sites demandent le password de son compte twitter, ainsi :
    1) il est facile de faire du phishing avec ce genre de site
    2) pirater un de ces sites et le tour est joué également… arf !
    En tous les cas, j’espère qu’Obama ou que Britney n’avaient pas un password unique pour twitter, leur mail, etc. sinon c’est la loose absolue :-p

    Posté le 8 janvier 2009 à 11:15:28

  3. Leg'Z Reply to this comment


    Les comptes piratés ont tous été brute forcés ou réinitialisés ?
    Sinon oui, c’est un peu la lose, car c’est pas le commun des mortels qui change complètement de mot de passe pour chaque service…

    Posté le 8 janvier 2009 à 12:45:06

  4. baG Reply to this comment


    Korben a l’air de dire que « Et bien apparement, quand on est admin sur Twitter, on a dans son interface un accès qui permet de réinitialiser le mot de passe de n’importe quel compte» , donc à priori réinitialisés, heureusement…

    Posté le 8 janvier 2009 à 12:49:54

  5. JC Reply to this comment


    C’est même pire que ça.
    En effet, on peut légitimement se demander pourquoi les admins peuvent réinitialiser n’importe quel compte Twitter (bonjour l’usurpation d’identité: la preuve…) aussi facilement (normalement, seuls les utilisateurs devraient pouvoir réinitialiser leur mots de passe, sauf si l’admin tripotte directement dans la base de données et change le hashage (à moins que les mots de passe soient en clair, arf!) et même s’ils avaient besoin de cette fonctionnalité pour une raison ou un autre, pourquoi était-ce sur la même interface que Twitter et non pas une interface corporate accessible uniquement depuis les locaux de Twitter…

    J’étais inscrit à Facebook il y a peu et j’ai cloturé mon compte car je ne sentais pas que mon identité et mes informations resteraient aussi privées que je le voudrais… le meilleur moyen d’éviter ce genre de désagrement reste d’éviter les sites de réseau sociaux, où les problèmes de sécurité de ce genre arrivent régulièrement…

    Laisseriez-vous une société se faire passer pour vous, surtout quand vous savez que leurs politiques de sécurité sont très laxistes (password faible aisément bruteforcable)… je préfère passer mon chemin et tant pis si je ne peux pas me la jouer « web 2.0″.

    Posté le 8 janvier 2009 à 13:07:33

  6. DadoOo Bot Reply to this comment


    Preuve que le Web 2.0 est bien la fin de la vie privée… ça confirme mon sentiment anti facebook et cie.

    Je ne m’y inscrirai jamais et je crois que c’est la meilleure solution. Confier ses données personnelles à une entreprise privée est de toute façon une mauvaise idée.

    Posté le 8 janvier 2009 à 13:18:53

  7. Korben Reply to this comment


    @DadoOo Bot: En même temps, tu restes libre de ce que tu saisies dans Facebook ou même Twitter… Donc tu peux l’utiliser sans forcement y mettre des infos perso.

    Posté le 8 janvier 2009 à 13:31:24

  8. JC Reply to this comment


    @Korben: Pas vraiment Korben, car dans le cas d’une usurpation d’identité, ta réputation est en jeu et pas uniquement tes informations personnelles. On peut très bien imaginer quelqu’un qui s’introduirait sur un compte et envoie des images pornos à tous les amis de la victime, nuisant ainsi fortement à sa réputation.

    Ca s’est d’ailleurs déjà produit, avec des /b/tards du BBS 4chan qui ont hacké des comptes et posté des images gay photoshoppées de la victime et envoyé à tous ses amis. Du coup, sa copine de l’époque l’a quitté. Pas idéal.

    Considérant que le but de Facebook est d’ajouter tes amis dessus, le compte contiendra « toujours»  des informations personnelles (puisque le nom de tes amis est une information personnelle), même si tu n’y mets pas ton numéro de téléphone, ton vrai nom, ou ton adresse.

    D’ailleurs, sauf si ça a changé depuis, tu peux simplement mettre un compte Facebook en veille et pas réellement l’effacer, ce qui est assez génant: on peut voir avec qui je suis ami en faisant une simple recherche sur Google sur mon vrai nom, même depuis que mon compte est cloturé et bien que j’avais correctement réglé les droits de privacy. Pas facile de revenir en arrière donc.

    Pour Twitter, c’est un peu différent, mais le problème de la réputation et de perserver son identité reste entier (mais la même chose est vraie avec un simple compte webmail… je le concède).

    Posté le 8 janvier 2009 à 13:45:40

  9. DadoOo Bot Reply to this comment


    @Korben:

    Le problème avec Facebook c’est les photos… je ne suis pas inscrit pourtant j’apparais ici ou là sur des clichés postés par des potes. Je trouve ça vraiment limite que ma frangine de 12 ans (j’en ai 23) vienne me commenter les photos de mes soirées qu’elle voit sur facebook, tout ça parce-qu’elle à un des mes potes dans sa liste d’ami.

    Ma situation n’est pas trop embarrassante (c’est un exemple) mais ça doit pouvoir foutre un sacré bordel dans d’autres conditions ^^

    Posté le 8 janvier 2009 à 13:53:45

  10. Korben Reply to this comment


    @DadoOo Bot: ça c’est pas faux !

    Posté le 8 janvier 2009 à 14:06:34

  11. Ludo42 Reply to this comment


    Pas très malin l’administrateur, ça lui est pas venu à l’esprit qu’un mot de passe aussi faible permettait à son compte d’être piraté par des esprits malveillants ?

    Posté le 8 janvier 2009 à 16:35:24

  12. 3psyl0n Reply to this comment


    hum …

    Je n’utilise pas twitter mais :

    « Il a d’abord localisé un compte qui était très actif…» 
    N’importe qui peut voir l’activité de n’importe quel compte sur twitter ?

    « Coup de bol, il s’agissait d’un employé de Twitter» 
    « la faille provient finalement des responsables de Twitter eux-même qui ont utilisés des mots de passe “faibles”» 
    « n’ont pas implémenté de limites au niveau du nombre d’essais ratés de login» 
    « Se rendant compte que le hack pouvait lui attirer plus d’ennui (il n’a pas utilisé de proxy), il s’est arrêté là mais a posté sa technique ainsi que la vidéo ci-dessous sur un forum de petits hackeurs» 
    … huh, mdr
    la ca fait 4 bigs coup de bol d’un coup !!!
    a ce niveau c’est plus du piratage, c’est du loto, voir de l’euromillion …

    Deplus quel est le rapport entre le fait de repérer « un compte trés actif»  et « le Bruteforcer»  ?

    « Trés Actif»  ou « Peu Actif» , le Bruteforcage il s’en fou un peu, pas mal, même beacoup …

    Posté le 9 janvier 2009 à 02:06:53

  13. Revue des blogs #105 : Une liste de news très Geek ! Reply to this comment


    [...] Pirater un compte Twitter, finalement, c’est assez simple Abonnez-vous à ces revues par ou par Découvrez les anciennes revues [...]

    Posté le 9 janvier 2009 à 04:24:25

  14. dictionnaire Reply to this comment


    Très intéressant , merci à tous

    Posté le 31 mars 2009 à 11:49:50

« Back to text comment