Trois ans après l’un des piratages les plus visibles de l’histoire récente s’est déroulé en temps réel devant des millions d’utilisateurs de Twitter, l’un des pirates responsables de la violation purgera désormais une peine dans une prison fédérale.
Joseph James O’Connor, 24 ans, a été condamné vendredi par un tribunal fédéral de New York à cinq ans de prison après avoir plaidé coupable en mai à quatre chefs d’accusation de piratage informatique, de fraude électronique et de cyberharcèlement. O’Connor a également accepté de confisquer au moins 794 000 $ aux victimes de ses crimes.
O’Connor, un citoyen britannique, a été extradé d’Espagne à la demande des procureurs américains plus tôt cette année et est resté en détention depuis.
Lors de l’audience, le juge Jed S. Rakoff a déclaré que O’Connor purgerait probablement environ la moitié de sa peine après avoir passé plus de deux ans en détention provisoire.
O’Connor a fait face à un maximum de 77 ans de prison, selon Reuters. Les procureurs du ministère de la Justice ont appelé O’Connor à purger au moins sept ans de prison.
Au tribunal, O’Connor a déclaré que ses crimes étaient « stupides et inutiles », a présenté ses excuses à ses victimes et a demandé la clémence du juge.
Selon les procureurs, O’Connor « a utilisé ses capacités technologiques sophistiquées à des fins malveillantes – en menant une attaque complexe par échange de carte SIM pour voler de grandes quantités de crypto-monnaie, en piratant Twitter, en effectuant des intrusions informatiques pour prendre le contrôle de comptes de médias sociaux et même en cyber-harcelant deux victimes, y compris une victime mineure.
Le gouvernement a déclaré qu’O’Connor, connu sous son nom d’utilisateur en ligne PlugWalkJoe, faisait partie d’un groupe qui s’est introduit dans des dizaines de comptes Twitter de haut niveau, dont Apple, Binance, Bill Gates, Joe Biden et Elon Musk, pour diffuser la crypto-monnaie. -escroqueries rapides en juillet 2020.
O’Connor a utilisé des techniques d’ingénierie sociale basées sur le téléphone pour inciter les employés de Twitter à accorder au groupe de pirates l’accès au réseau de Twitter. L’un des autres pirates reconnus coupables de la violation de Twitter, Graham Ivan Clark, également connu sous le nom de Kirk, a utilisé l’accès au réseau de Twitter pour abuser d’un outil d’administration interne afin de détourner et de réaffecter des comptes d’utilisateurs Twitter.
Une capture d’écran du panneau d’administration de Twitter que les pirates ont piraté afin de réattribuer l’accès aux comptes d’utilisateurs de Twitter. Crédits image : TechCrunch (fourni)
Twitter a temporairement empêché les utilisateurs de publier sur le site alors qu’il était aux prises avec l’intrusion, alors que des millions d’utilisateurs regardaient en temps réel leurs calendriers inondés d’arnaques à la crypto-monnaie de certains des noms les plus reconnaissables de la planète.
Une enquête ultérieure menée par le département des services financiers de New York, qui a accusé Twitter de protections de cybersécurité inadéquates, a révélé que les pirates sont entrés par effraction en « appelant les employés de Twitter et prétendant appartenir au service informatique de Twitter », puis ont détourné les comptes Twitter d’hommes politiques, de célébrités, et les entrepreneurs pour tweeter les escroqueries « doublez vos bitcoins ».
L’escroquerie a rapporté environ 120 000 $, selon les archives publiques de la blockchain.
Plusieurs des tweets qui ont été publiés lors du piratage Twitter de 2020. Crédits image : Tech Crunch
La violation a incité Twitter à améliorer ses contrôles de cybersécurité, en introduisant des clés de sécurité matérielles pour ses employés afin d’empêcher de futures tentatives de phishing.
Deux ans après le piratage, des allégations plus explosives concernant la violation ont été révélées.
Peiter « Mudge » Zatko, qui a été embauché comme responsable de la sécurité de Twitter des mois après la violation, a décrit plus tard l’accès des pirates comme atteignant le « mode divin », qui leur permettait d’imposter des tweets à partir de n’importe quel compte de leur choix. Zatko a qualifié l’incident de « plus grand piratage d’une plate-forme de médias sociaux de l’histoire » dans une plainte de lanceur d’alerte déposée auprès des régulateurs fédéraux en 2022, dans laquelle Zatko a accusé son ancien employeur de défaillances en matière de cybersécurité.
Twitter a répondu automatiquement avec un emoji caca en réponse à une demande de commentaire par e-mail, comme il le fait depuis peu de temps après l’acquisition de la société par Elon Musk.