Tout est parti d'une base de données contenant les informations d'identification pour les comptes Twitter de prés de 8.000 membres qui, apparemment, proviendraient du service d'hébergement d'image TweetGif. Ces informations sont en ligne et contiennent les jetons d'accès ainsi que les jetons d'accès secrets associés qui peuvent être utilisés pour accéder aux comptes Twitter des différentes victimes.
Comment? Tout simplement parce que les utilisateurs se connectent sur ce service via leur compte Twitter et ainsi Twitter fournit un jeton d'accès pour TweetGif. Ce jeton permet à TweetGif d'accéder au compte Twitter de façon perpétuelle sans avoir besoin de redemander les permissions à chaque fois.
En plus de cela, les jetons restent valables même si le mot de passe est changé. Par mesure de précaution, toute personne qui a utilisé TweetGif devrait retirer les droits d'accès du service en passant par Paramètres > Applications sur son compte Twitter. Le groupe LulzSec Reborn a déjà revendiqué la responsabilité de cette fuite de données. La groupe est également responsable de la publication des données provenant de MilitarySingles.com et de l'attaque de CSS Corp.
Donc un petit conseil, pensez à nettoyer les permissions données sur les différents réseaux sociaux de temps en temps.
MISES A JOUR DE L'ARTICLE |