Il y a quelques jours, plusieurs comptes Twitter ont été piratés... Parmi eux, des comptes “célèbres” comme celui de Barack Obama, Britney Spears, Kevin Rose ou Foxnews… Celui qui a fait le coup a 18 ans et voici comment il s’y est pris…

Il a d’abord localisé un compte qui était très actif… Coup de bol, il s’agissait d’un employé de Twitter. Il a ensuite tout simplement bruteforcé avec un dictionnaire de mots courants en anglais, le fameux compte et en une nuit, il a pu trouver le mot de passe de cet admin de Twitter.

Et ensuite ? Et bien apparement, quand on est admin sur Twitter, on a dans son interface un accès qui permet de réinitialiser le mot de passe de n’importe quel compte… Se rendant compte que le hack pouvait lui attirer plus d’ennui (il n’a pas utilisé de proxy), il s’est arrêté là mais a posté sa technique ainsi que la vidéo ci-dessous sur un forum de petits hackeurs (Digital Gangster).

https://www.youtube.com/watch?v=IKNbggNJMVIDu coup, le reste de la bande s'est amusé à poster des messages délirant, usurpant l'identité de gros comptes Twitter

Bref, marrant pour certains, flippant pour d’autre, la faille provient finalement des responsables de Twitter eux-même qui ont utilisés des mots de passe “faibles” en terme de cracking et qui surtout n’ont pas implémenté de limites au niveau du nombre d’essais ratés de login… Le bruteforcing avec un petit script étant alors énormément simplifié.

Y’a plus qu’à revoir votre copie, messieurs les TwittAdmins :-)

[source]