Twitter vient d'annoncer qu'il avait été la cible d'une attaque ces derniers jours, menant à la fuite d'informations concernant 250 000 comptes d'utilisateurs. Par sécurité, les accès de ces derniers ont été réinitialisés, si vous êtes concernés, vous devriez recevoir un mail détaillant la procédure à suivre.
Bob Lord, qui travaille au sein de l'équipe dédiée à la sécurité de Twitter, vient de se fendre d'un billet sur le blog du service de micro-blogging. Il indique que ses collègues ont détecté des tentatives d'accès aux données utilisateurs cette semaine, dont une qu'ils ont pu interrompre en pleine exécution. Pour autant, une fuite d'information a été découverte.
Des pseudos, adresses e-mail, tokens de session et une version chiffrée (avec une composante aléatoire, le salt) du mot de passe ont été récupérés. Ainsi, le mot de passe lui-même ne devrait pas pouvoir être découvert par les attaquants, mais par sécurité Twitter a tout de même réinitialisé les données de connexion des 250 000 comptes concernés. Les utilisateurs touchés sont contactés par courriel afin de leur indiquer la procédure à suivre.
Selon l'équipe du site, ce n'était pas l'oeuvre d'amateurs, et ils pensent ne pas se trouver face à une tentative isolée, d'autres sociétés pourraient faire face à des attaques similaires. Les autorités compétentes ont été contactées afin de donner une suite à cette affaire.
Twitter en profite pour rappeler l'importance du choix d'un mot de passe fort (au moins 10 caractères, un mélange alphanumérique contenant des symboles et jouant sur les majuscules minuscules, même si cette définition ne fait pas consensus), qui ne soit pas le même pour l'ensemble des services que vous utilisez.
Nous reviendrons sur le sujet dès que nous aurons plus de détails.
Commentaires (39)
#1
Un lien avec la panne d’hier peut-être ?
#2
une version chiffrée (avec une composante aléatoire, le salt) du mot de passe ont été récupérées. Ainsi, le mot de passe lui-même ne devrait pas pouvoir être découvert
Une version chiffree ou un hash ?
Meme avec un salt, au moins 10% des pwds sont recuperables avec une attaque au dico.
mot de passe fort (au moins 10 caractères, un mélange alphanumérique contenant des symboles et jouant sur les majuscules minuscules, même si cette définition ne fait pas consensus)
Regle de merde, rien ne vaut les passphrases en minuscules (20-30 chars). Soit dit en passant le dernier webmail qui m’a laisse faire ca c’est yahoo, c’est dire … " />
#3
#4
#5
#6
#7
#8
“Twitter en profite pour rappeler l’important du choix d’un mot de passe fort ”
et d’avoir une sécurité forte chez ceux qui les stockent.
Genre c’est l’utilisateur qui est coupable.
#9
#10
#11
#12
#13
Ça ne peut être que l’UEJF à tout les coup, quand ils arrivent pas à avoir un truc aller hop le Mossad à l’action.
Il y a aussi les chinois vu l’attaque sur le New York Times, mais eux je ne sais pas qui ils envoient. Des chinois du FBI s’en doute ?
#14
waw, si les hackers trouvent les mots de passe, ils pourront avoir accès à tous les tweets !!! " />
#15
Je suis dans les 250 000 comptes, super ! Le bon coté c’est que j’ai un mot de passe différent pour chaque site…
#16
http://passwordmaker.org/ et hop un password par site
#17
#18
#19
Avec la pass phrase en théorie l’entropie est du genre “quantité de mot dans le dictionnaire de la langue” exposant “nombre de mot” la quantité de mot dans une langue est sensé être bien plus élevée que les 128 caractères affichables de l’ascii
Donc des probabilités peuvent réduire la recherche à un certain vocabulaire mais ce nombre de mot dans un vocabulaire restera toujours plus élevé que le nombre de caractères utilisables dans un mot de passe après la longueur de la phrase correspond à peu prêt a la sécurité de la longueur du mot de passe…
Si en plus certains s’amusent à mélanger les langues, de l’argot, du patois, ou une orthographe propre…
L’algo nécessaire pour les probabilités sera surement plus intéressant à utiliser dans la recherche linguistique que par des pirates, donc ça pourrait pas faire de mal que les pirates participent à la recherche linguistique " />
#20
#21
#22
#23
#24
#25
#26
#27
#28
#29
#30
#31
#32
#33
#34
C’est la faute du Krakatoa à l’Est de Java (le fail d’Oracle)
Il est entré en irruption " />" />" /> spontanée de DDOS (sûrement) " />
#35
#36
#37
#38