Après LinkedIn, Twitter fait l’objet d’un leak

[Message de service : le lien vers la base de données ne sera pas communiqué.]

L’information est presque passée inaperçue mais il semblerait que le groupe LulzSec ait refait surface. Hier, un leak d’environ 10 000 identifiants et mots de passe de personnes utilisant l’application TweetGif, a été publié. Dans la mesure où l'article initial ayant permis la rédaction de ce qui suit donne le lien pour se rendre vers la base de données leakée, il ne sera pas communiqué pour des raisons juridiques. 

Une base de données conséquente et détaillée comportant les identifiants, les localisations, les avatars, les derniers tweets ainsi que les biographies des utilisateurs de Twitter est disponible sur Pastebin. Les questions secrètes sont hashés mais dans la mesure où les autres informations sont en clair, cela n’est qu’une question de temps pour qu’un nombre important de comptes soit compromis. Américains, Sud-Africains, mais également Français se retrouvent dans cette base de données.

L’application responsable de ce leak, à savoir TweetGif, permet aux utilisateurs de poster des images animées sur leur compte. Peu populaire jusqu’à présent, elle risque de souffrir durablement de ce leak.

Sur Pastebin, ce leak serait revendiqué par LulzSec Reborn mais rien ne prouve qu’il s’agisse réellement de membres de LulzSec ou même d’Anonymous car rien n’est plus facile que d’ouvrir un Pastebin et d’y écrire l’adresse d’un chan IRC. Pour le moment, il est donc impossible d’affirmer avec certitude que cette attaque est bien l’œuvre de LulzSec Reborn, qui se définit comme une résurrection du groupe LulzSec.  

Ce type d’attaque est appelée « third-party ». Cela désigne une fonctionnalité, une possibilité d’attaque que peut mener un outil, une personne ou autre, qui n’était envisagée à la base. En l’espèce, l’application TweetGif n’est à proprement parler en cause puisqu’il ne s’agit pas d’un malware. Mais elle utilisait des outils pour fonctionner qui eux-mêmes n’étaient pas sécurisés, notamment ceux qui permettaient aux utilisateurs de charger des images et des vidéos.

Ceci est la démonstration de ce qu’il vaut mieux éviter de faire sur les réseaux sociaux. Moins il existe d’applications reliées à un compte, que ce soit Twitter, Facebook ou autre, moins il y a de risques que des informations s’envolent dans la nature.

Pour le moment, ni Twitter ni TweetGif n’a communiqué sur ce leak mais si vous êtes utilisateur de l’application TweetGif, commencez par la répudier et par changer les informations importantes de votre compte Twitter, à savoir le mot de passe et la question secrète.