Twitter GodMode toujours disponible pour tous les ingénieurs, suite au piratage d’Apple et d’autres comptes

Twitter GodMode toujours disponible pour tous les ingénieurs, suite au piratage d'Apple et d'autres comptes

Twitter GodMode – un outil interne que les pirates utilisaient pour tweeter à partir de comptes de haut niveau, y compris Apple, en 2020 – reste disponible pour tous les ingénieurs de l’entreprise, selon un nouveau rapport publié aujourd’hui.

Twitter avait précédemment déclaré que la faille de sécurité avait été corrigée, mais un dénonciateur a déclaré qu’en plus de changer le nom de l’outil de GodMode en PrivilegedMode, la société n’avait apporté qu’un seul changement – et cela permettait toujours à tout ingénieur de Twitter d’obtenir trivialement un accès incontrôlé. à ça…

Fond

Le compte Twitter officiel d’Apple @Apple était l’un des nombreux comptes de haut niveau compromis en 2020. Les autres comptes concernés étaient :

  • Joe Biden
  • Jeff Bezos
  • Bill Gates
  • Mike Bloomberg
  • Kanye West
  • Uber
  • Floyd Mayweather
  • Application de trésorerie
  • Warren Buffet
  • Barack Obama
  • MrBête

Oh, et un de plus : Elon Musk.

Le piratage était d’autant plus notable qu’il était possible malgré le fait que de nombreux comptes utilisaient une authentification à deux facteurs, ce qui indique que l’accès aurait dû être impossible même avec le mot de passe du compte.

En l’occurrence, les pirates ont simplement publié une arnaque Bitcoin, mais la possibilité de tweeter absolument n’importe quoi à partir de comptes aussi prestigieux et fiables aurait pu entraîner des conséquences bien plus graves.

Il est apparu plus tard que le piratage avait été fait avec un outil interne, alors connu sous le nom de GodMode. Ceux qui ont accès à GodMode peuvent publier des tweets à partir de n’importe quel compte, sans avoir besoin d’une authentification spécifique au compte. GodMode a également permis la suppression des tweets existants.

Twitter GodMode toujours disponible pour tous les ingénieurs

Twitter a déclaré par la suite qu’il avait enquêté et pris des mesures pour résoudre le problème. Cependant, selon un dénonciateur, le seul changement était de retirer défaut accès à l’outil. Tout ingénieur qui souhaitait y accéder n’avait qu’à changer le drapeau d’une ligne de code de FALSE à TRUE.

Le Washington Post rapporte qu’un lanceur d’alerte l’a signalé au Congrès en octobre, et il a maintenant été partagé avec le journal par un membre du personnel du Congrès.

Un nouveau lanceur d’alerte sur Twitter a émergé, soutenant le témoignage surprenant de l’année dernière sur l’état lamentable des protections de la vie privée de l’entreprise et affirmant que l’entreprise continue de violer ses obligations légales sous le nouveau propriétaire Elon Musk.

L’ancien employé a déclaré aux membres du Congrès et au personnel de la Federal Trade Commission que tout ingénieur de Twitter pouvait activer un programme interne jusqu’à récemment appelé « GodMode » et tweeter depuis n’importe quel compte aujourd’hui, trois mois après la prise de contrôle de Musk. […]

Le nouveau lanceur d’alerte a déclaré qu’à la suite d’objections internes concernant le programme, les ingénieurs avaient changé son nom en « mode privilégié ». Le dénonciateur a déclaré que le but du programme était de permettre au personnel de Twitter de tweeter au nom d’annonceurs incapables de le faire eux-mêmes. […]

La nouvelle plainte du dénonciateur indique que le code GodMode reste sur l’ordinateur portable de tout ingénieur qui le souhaite. Tout ce qu’ils auraient à faire serait de changer une ligne du code de FALSE à TRUE et de l’exécuter à partir d’une machine de production à laquelle ils pourraient accéder via un protocole de communication facilement accessible connu sous le nom de SSH.

Le dénonciateur a déclaré que non seulement n’importe quel ingénieur peut effectuer ce changement lui-même, mais que le personnel de sécurité de Twitter n’a aucun moyen de savoir qui l’a fait.

Le rapport appuie les affirmations de l’ancien responsable de la sécurité de Twitter, Peiter Zatko, selon lesquelles la société présentait des « déficiences extrêmes et flagrantes » dans ses protections contre les pirates.

Photo : Davide Cantelli/Unsplash


Découvrez cette vidéo ci-dessous (en anglais) pour plus d’actualités Apple :