Twitter attaqué : fuite de données pour 250 000 comptes

Twitter vient d'annoncer qu'il avait été la cible d'une attaque ces derniers jours, menant à la fuite d'informations concernant 250 000 comptes d'utilisateurs. Par sécurité, les accès de ces derniers ont été réinitialisés, si vous êtes concernés, vous devriez recevoir un mail détaillant la procédure à suivre.

Bob Lord, qui travaille au sein de l'équipe dédiée à la sécurité de Twitter, vient de se fendre d'un billet sur le blog du service de micro-blogging. Il indique que ses collègues ont détecté des tentatives d'accès aux données utilisateurs cette semaine, dont une qu'ils ont pu interrompre en pleine exécution. Pour autant, une fuite d'information a été découverte.

Des pseudos, adresses e-mail, tokens de session et une version chiffrée (avec une composante aléatoire, le salt) du mot de passe ont été récupérés. Ainsi, le mot de passe lui-même ne devrait pas pouvoir être découvert par les attaquants, mais par sécurité Twitter a tout de même réinitialisé les données de connexion des 250 000 comptes concernés. Les utilisateurs touchés sont contactés par courriel afin de leur indiquer la procédure à suivre.

Selon l'équipe du site, ce n'était pas l'oeuvre d'amateurs, et ils pensent ne pas se trouver face à une tentative isolée, d'autres sociétés pourraient faire face à des attaques similaires. Les autorités compétentes ont été contactées afin de donner une suite à cette affaire.

Twitter en profite pour rappeler l'importance du choix d'un mot de passe fort (au moins 10 caractères, un mélange alphanumérique contenant des symboles et jouant sur les majuscules minuscules, même si cette définition ne fait pas consensus), qui ne soit pas le même pour l'ensemble des services que vous utilisez.

Nous reviendrons sur le sujet dès que nous aurons plus de détails.