Un utilisateur de l’alternative Twitter/X Spoutible affirme que la société a supprimé ses publications après avoir poussé le PDG de Spoutible, Christopher Bouzy, à être plus honnête sur la nature de son récent problème de sécurité. Ces affirmations, que la société nie, constituent le dernier rebondissement bizarre dans la saga des incidents de sécurité qui ont eu lieu au cours de la semaine dernière au sein de la startup.
La semaine dernière, Bouzy a reconnu une faille de sécurité qui, selon lui, avait exposé les adresses e-mail et les numéros de téléphone des utilisateurs de sa startup, positionnée comme un Twitter plus inclusif et plus aimable. Cependant, le chercheur en sécurité Troy Hunt, créateur du site Web Have I Been Pwned, qui permet aux utilisateurs de vérifier si leurs données ont été compromises lors d’une violation de données, a découvert que l’API du développeur de Spoutible exposait également des informations que des acteurs malveillants auraient pu utiliser pour récupérer. sur les comptes des utilisateurs à leur insu.
Hunt a détaillé ses conclusions sur cette accusation bien plus grave sur son site Web, notant que l’API Spoutible renvoyait des données, notamment le hachage bcrypt du mot de passe de tout autre utilisateur, ainsi que les secrets 2FA (à deux facteurs) et le jeton qui pouvait être réutilisé pour réinitialiser le mot de passe d’un utilisateur. mot de passe.
Bref, cette vulnérabilité était hautement exploitable et aurait pu permettre à un mauvais acteur de s’emparer du compte d’un utilisateur à son insu, comme le rapportait à l’époque The Verge. Hunt avait été alerté de ce problème par un tiers qui affirmait avoir récupéré des données du service de Spoutible. Le compte de As Have I Been Pwned confirmé le XSpoutible a supprimé 207 000 enregistrements d’utilisateurs de son API mal configurée, notamment « le nom, l’adresse e-mail, le nom d’utilisateur, le téléphone, le sexe, le hachage du mot de passe bcrypt, le secret 2FA et le jeton de réinitialisation du mot de passe ».
En juin dernier, Spoutible comptait 240 000 utilisateurs enregistrés, la violation a donc touché une bonne partie de la base d’utilisateurs du plus petit réseau social. (Spoutible a refusé de partager ses numéros d’utilisateurs actuels).
Le chercheur en sécurité a expliqué que la vulnérabilité aurait pu être exploitée par de mauvais acteurs, qui auraient pu obtenir une version hachée des mots de passe des utilisateurs. Bien que les mots de passe aient été protégés via bcrypt, les mots de passe plus courts auraient pu être plus faciles à deviner et à déchiffrer. De plus, aucune notification par courrier électronique ne serait envoyée au titulaire du compte concernant le changement de mot de passe, de sorte qu’il n’aurait jamais su si son compte n’était plus sous son contrôle, a noté Hunt.
Ce genre de chose aurait été un problème pour n’importe quelle startup, mais en particulier si la base d’utilisateurs est pleine d’utilisateurs précoces qui ont peut-être simplement essayé Spoutible pendant un certain temps avant de passer à une autre alternative à Twitter, laissant les comptes semi-abandonnés mûrs pour la prise.
Le PDG de Spoutible, Christopher Bouzy, a confirmé la violation et la vulnérabilité des données et la société a demandé aux utilisateurs de créer de nouveaux mots de passe plus forts, après avoir résolu le problème. Cependant, il a également qualifié la découverte de la vulnérabilité d’« attaque » contre son réseau et a allégué que la personne qui avait récupéré les données était quelqu’un qui avait l’intention de nuire à la réputation de Spoutible.
« Nous sommes… convaincus que la personne impliquée est le meneur qui attaque Spoutible depuis un an », a déclaré Bouzy dans un message, faisant référence au notifiant qui a envoyé à Hunt les enregistrements grattés.
Dans un e-mail avec TechCrunch, Bouzy a exposé ses idées plus en détail, alléguant que le groupe en ligne connu sous le nom de «Doutable», qui avait émergé au début de l’année dernière, était à l’origine de l’attaque. Doubtible gère un compte Twitter/X sur lequel ils ont « tweeté quotidiennement des mensonges sur Spoutible, moi et des membres éminents de notre communauté », a déclaré Bouzy. « Nous croyons fermement que ce groupe est à l’origine du grattage non autorisé de nos données » — une accusation répétée par Bouzy en réponse à un avis sur Trustpilot, où il a également suggéré qu’il alertait le FBI de l’affaire.
« Quelqu’un n’a pas besoin de gratter plus de 207 000 enregistrements pour révéler une vulnérabilité », a poursuivi Bouzy. « Cependant, en incluant également des données, cela les rend beaucoup plus dignes d’intérêt. Si quelqu’un cherche à révéler une vulnérabilité afin de ternir la réputation d’une entreprise, M. Hunt serait en effet son interlocuteur idéal. La raison de leur choix est claire : les tweets, le billet de blog et la vidéo de suivi de M. Hunt correspondent parfaitement à leurs intentions. La manière dont M. Hunt a fait sensation et décrit l’incident est exactement ce qu’ils espéraient », a-t-il ajouté d’un ton conspirateur.
Bouzy affirme que la faille de sécurité est survenue parce qu’un membre de son équipe a utilisé une fonction destinée à l’API des paramètres utilisateur avec une fonction conçue pour l’API publique, c’est pourquoi les e-mails et les numéros de téléphone cryptés ont été exposés en texte brut. Il a déclaré que Spoutible s’était désormais associé à une société de sécurité pour revoir davantage ses systèmes, à la lumière de cet incident.
Pourtant, plusieurs personnes ont depuis accusé Bouzy d’avoir tenté de minimiser la gravité de la vulnérabilité, notamment le journaliste de données Dan Nguyen, qui a récemment partagé le message de l’entrepreneur technologique Anil Dash sur Bluesky avertissant les utilisateurs de « cesser de diffuser ». Un autre utilisateur de Bluesky a qualifié de manière colorée le dumping des données utilisateur par Spoutible de « la vengeance de Montezuma ».
Bien qu’une violation de données soit déjà une mauvaise communication pour une startup, on peut désormais se demander si l’entreprise fait taire ou non ses critiques.
Un utilisateur de Spoutible, Mike Natale, a publiquement accusé le PDG d’avoir supprimé ses publications sur le site de réseau social, où il avait poussé Bouzy à être plus transparent.
« Bouzy… a supprimé tous mes messages et effacé mon mur », a écrit Natale, en réponse à un autre utilisateur de Bluesky.
Crédits images : Mike Natale sur Bluesky (Ouvre dans une nouvelle fenêtre)
Dans une autre réponse, Natale a expliqué que Bouzy avait initialement republié ses messages sur Spoutible pour commenter le sujet, mais avait ensuite supprimé tous les messages de Natale lorsqu’il avait repoussé « le récit selon lequel il s’agissait d’une attaque » et « que d’autres sociétés avaient eu le mêmes défauts. »
Les messages manquants ne comportent pas la balise habituelle indiquant leur suppression. Sur Spoutible, les publications supprimées sont accompagnées d’une note système indiquant « @user a supprimé cette réponse ». Par exemple, si Bouzy avait supprimé la réponse, elle aurait lu « @bouzy a supprimé cette réponse ».
Mais dans ce cas, Natale a déclaré dans des commentaires sur Bluesky que les publications avaient tout simplement disparu et que son flux principal Spoutible ne se chargeait même pas.
Le compte Twitter/X Doubable a également publié des articles sur les affirmations de Natale. Natale a répondu à une demande de commentaire de TechCrunch en disant que quelqu’un l’avait alerté de la suppression de ses messages après l’échange avec Bouzy.
Crédits images : Messages supprimés de Natale sur Spoutible
« Spoutible a fait quelque chose sur mon compte immédiatement après que je l’ai repoussé en décrivant le travail de Troy comme faisant partie d’une sorte d’attaque », a-t-il déclaré. Bouzy lui avait « répondu » plusieurs fois et Natale avait publié quelques messages supplémentaires pour tenter de s’expliquer davantage. « Plus tard, sur une autre plateforme, quelqu’un m’a demandé si j’avais supprimé mes messages. Je ne l’avais pas fait, alors je suis retourné à Spoutible. Mon mur ne se charge pas vraiment, tous mes messages avaient disparu (sauf un ou deux), alors j’ai ouvert un ticket », a déclaré Natale.
Pendant ce temps, Christopher Bouzy, PDG de Spoutible, nie avoir supprimé les messages de Natale.
« En ce qui concerne le problème avec l’utilisateur Natale, nous n’avons pas supprimé ses publications ni son compte. Il est possible que les utilisateurs suppriment leur propre contenu et nous accusent ensuite à tort », a-t-il déclaré, suggérant encore une fois un complot. « Cette allégation est sans fondement et ne mérite pas d’être discutée davantage », a-t-il conclu.
L’incident survenu chez Spoutible rappelle une autre petite entreprise, Hive, qui a également connu un problème de sécurité majeur après avoir été inondée d’utilisateurs de Twitter peu après l’acquisition d’Elon Musk. Dans ce cas, la startup a complètement fermé son application pour corriger les failles critiques avant de revenir sur l’App Store. Hive a réussi à résister à la tempête et finalement à revenir, mais n’est plus considéré comme une menace pour Twitter après son opportunité perdue.
Mis à jour le 13/02/24, 7h30 et avec le commentaire de Natalie.
Reste également à savoir si la réputation de Spoutible se remettra de cette tache.