[Update: Seesaw told Ars that « less than 0.5 percent of Seesaw users were affected. Seesaw blocked the attack swiftly to prevent the message from being distributed widely. » Although it « can’t discuss the specifics of additional steps » taken to enhance security so far, some of the « additional mitigation steps to prevent an attack from achieving this scale in the future » include « refinements to our rate limiting, alerting, blocking, content detection, and login systems. »]
Histoire originale : Une application de messagerie parents-enseignants populaire appelée Seesaw a été piratée cette semaine, ce qui a permis à des familles à travers les États-Unis de recevoir un lien Bit.ly affichant l’une des images de choc les plus largement partagées à avoir jamais souillé Internet.
Vice a publié une capture d’écran floue du message texte que certains parents ont reçu, confirmant que l’image inappropriée partagée via Seesaw était Goatse, une image en gros plan explicite d’un homme écartant son anus. Vice a noté qu’au fil des ans, l’image a été pour la plupart effacée d’Internet. Cependant, pour les parents qui se préparent à rentrer leurs élèves de première année cette semaine, son resurfaçage soudain a ravivé sa valeur de choc d’origine depuis les premiers jours d’Internet.
Dans la capture d’écran, la réponse d’un parent était juste un « Um ??? » stupéfait.
Seesaw est utilisé par 10 millions d’enseignants aux États-Unis, et jusqu’à présent, la société a refusé de préciser combien de comptes ont été touchés, a rapporté NBC News mercredi. Les reportages de NBC et Vice ont cependant confirmé que le problème était répandu. Les rapports ont montré que l’image inappropriée avait été envoyée aux familles des districts scolaires de l’Illinois, de New York, de l’Oklahoma, du Texas, du Colorado, du Kansas, du Minnesota, du Michigan et du Dakota du Sud. Certaines écoles étaient tellement inquiètes qu’elles ont mis à jour leurs sites Web avec des fenêtres contextuelles et des alertes pour informer les parents, les exhortant à éviter d’utiliser l’application et à envoyer un e-mail aux enseignants jusqu’à ce que le problème soit résolu.
Seesaw a pris connaissance de l’attaque mardi soir et a immédiatement fermé la fonction de messagerie pour enquêter. Finalement, Seesaw a découvert que le problème n’était pas dû à une violation de données des utilisateurs de Seesaw, mais plutôt à une attaque de « credential stuffing ». Cela se produit lorsque des pirates exploitent des violations de données antérieures pour identifier des informations pouvant être utilisées pour compromettre des comptes individuels chaque fois que des personnes réutilisent des combinaisons de nom d’utilisateur et de mot de passe sur plusieurs services. Ces attaques sont la raison pour laquelle il est recommandé de ne jamais dupliquer les mots de passe, et Seesaw a fait écho à ce conseil aux parents.
« Seesaw n’a pas été compromis ; cependant, des comptes d’utilisateurs individuels isolés ont été compromis et utilisés pour envoyer un message inapproprié », a déclaré un porte-parole de Seesaw à Ars. « Nous n’avons aucune preuve suggérant que cet attaquant a effectué des actions supplémentaires ou a accédé à d’autres données dans Seesaw au-delà de la connexion et de l’envoi d’un message à partir de ces comptes compromis. »
Comment Seesaw a-t-il répondu?
Une fois que Seesaw a reçu les rapports des utilisateurs, l’application a commencé à enquêter et à publier des mises à jour des utilisateurs au fur et à mesure que de nouvelles informations devenaient disponibles. Pour remédier au problème, Seesaw a supprimé l’image de tous les messages, désactivé temporairement la fonction de messagerie pour l’empêcher d’être partagée davantage, réinitialisé les mots de passe de tous les comptes concernés et informé les titulaires de compte par e-mail du piratage.
Après cela, Seesaw a contacté Bit.ly pour bloquer le lien et a promis aux utilisateurs que l’application a ajusté ses « règles de détection et de blocage pour garantir que des attaques similaires soient empêchées à l’avenir ». (Seesaw a refusé de préciser à Ars quelles mises à jour ont été effectuées.)
À l’avenir, Seesaw a promis de mettre en place davantage de mesures d’atténuation et prévoit d’analyser les bases de données de « mots de passe compromis connus » pour réinitialiser de manière proactive les mots de passe de tous les utilisateurs qui n’ont pas été touchés par le piratage mais qui pourraient être vulnérables à de futurs piratages.
« Nous sommes profondément affligés par l’impact sur notre communauté de ces actions épouvantables », a déclaré Seesaw à Vice.
Pour certains utilisateurs de Seesaw, la fonctionnalité de messagerie a depuis été réactivée, mais d’autres attendent toujours de retrouver l’accès.
« Notre équipe continue de surveiller la situation et réactive maintenant lentement Messages », a déclaré Seesaw à Ars.