Un plugin WordPress répandu permet de détourner des comptes Twitter
Par June Cantillon - Publié le
C'est au spécialiste français de la sécurité Baptiste Robert (via son compte twitter Elliot Alderson) que l'on doit cette découverte. Il a constaté que le plugin incriminé stockait les jetons d'accès (tokens) des comptes twitter liés au sein du code source du site sur lequel il était utilisé. Or, ces tokens permettent de ne pas avoir à ressaisir un mot de passe pour rester connecté à un service donné.
Pour prouver ses dires, le chercheur a exploré le code source de 539 sites utilisant le plugin en question. Il en a collecté plus de 400 tokens liés à des comptes Twitter, puis a ensuite réussi à démontré qu'il avait un accès complet aux comptes, en les forçant à réagir à un tweet de son choix. Parmi les comptes ciblés, on trouvait un bureau de Shérif en Floride, un Casino à Oklahoma, ou encore une salle de concert à Cincinnati.
La faille a été publiée par Baptiste Robert en décembre 2018. Twitter, de son côté, a envoyé un mail pour prévenir les comptes exposés par le plugin comptant actuellement plus de 53 000 téléchargements à son actif.
Source