Les pirates anonymes ont publié aujourd’hui cinq listes contenant des mots de passe pour les utilisateurs de Twitter. PerlmOl a constaté que de nombreux comptes ne sont que des profils de robots créés pour diffuser du spam et des logiciels malveillants sur le service, mais que plusieurs comptes de franchisés étaient également touchés, avec des courriels de fournisseurs comme UOL, Terra et iG et des noms d’utilisateur en français. Si vous remarquez un problème avec votre compte, il se peut que votre mot de passe ait été divulgué.
Les listes étaient initialement disponibles dans Pastebin et une version alternative, sans mot de passe utilisateur, est disponible à ce lien. Donnez un Ctrl+F et cherchez votre email ou nom d’utilisateur. Pastebin est connu pour héberger des fichiers texte controversés, tels que des mots de passe divulgués et des documents confidentiels obtenus par des intrusions sur le serveur.
On ne sait pas exactement comment les mots de passe se sont retrouvés sur Internet, mais il est fort probable qu’une fausse application ait saisi les combinaisons. Tout le monde le sait déjà, mais cela ne fait pas de mal de s’en souvenir : ce n’est pas une bonne idée de taper un login et un mot de passe Twitter sur des sites qui promettent d’augmenter le nombre de followers, ou d’utiliser des combinaisons comme “123456”, “101010” ou des mots du dictionnaire.
Au moment de la publication de cette nouvelle, chaque liste avait été consultée en moyenne 15 000 fois. Donc, si votre compte figure sur la liste, quelqu’un est probablement en train de vérifier vos messages directs super-secrets, précieux et compromettants en ce moment même – c’est-à-dire, changer votre mot de passe immédiatement.
Mise à jour à 19h11 | PerlmOl a constaté que plusieurs comptes de la liste étaient automatiquement suspendus par Twitter lui-même. Pour éviter que les utilisateurs dont les mots de passe ont été divulgués soient lésés, nous avons créé une version alternative uniquement avec le login ou l’e-mail de Twitter, disponible sur ce lien.
Mise à jour à 21h28 | L’avis de Twitter s’est officiellement prononcé sur l’affaire :
Nous enquêtons sur la situation. Jusqu’à ce que l’affaire soit résolue, les comptes qui ont été éventuellement touchés voient leur mot de passe réinitialisé. Pour ceux qui craignent que leur compte ait été compromis, nous suggérons de changer leurs mots de passe et de suivre les instructions du centre d’aide.
Il est important de se rappeler que jusqu’à présent, nous avons constaté que la liste trouvée dans Pastebin contient plus de 20 000 lignes en double, de nombreux comptes de spammeurs qui ont déjà été suspendus et de nombreuses références qui ne sont pas liées entre elles (c’est-à-dire que le mot de passe et le nom d’utilisateur ne sont pas vérifiés).