Connexion
Abonnez-vous

Une plongée en apnée dans les méandres nauséabonds de certains concours Twitter

Une plongée en apnée dans les méandres nauséabonds de certains concours Twitter

Le 25 avril 2018 à 09h34

Sur son blog, Éric Liégeois (alias Klaki) explique en détail « comment en participant à 9 500 concours sur Twitter [il a] gagné vos comptes premium » sur Spotify, Netflix, Minecraft, Uplay, Origin, etc.

Après avoir développé un bot Twitter, il enchaîne les participations (automatiques) et finit par gagner « une péta-chiée de lots »… dont certains surprenants, pour rester poli. « On te fait littéralement gagner un compte. On ne te dit pas qu’il s’agit de celui de quelqu’un d’autre. Un de quelqu’un qui paye pour ça… Avec son argent à lui », explique-t-il. Il s'est d'ailleurs lancé à la recherche des propriétaires légitimes et, « dans l’immense majorité » les a retrouvés.

Son enquête l'a ensuite amené à se pencher sur les mécaniques derrière ce genre de concours, leur organisateur et les générateurs de compte : « Tu cliques sur le nom du service pour lequel tu veux un compte premium, et on te file un login et un mot de passe. Et si dans deux heures il ne fonctionne plus, tu reviens en prendre un autre. Pouf pouf. L’hallu est totale ».

Eric Liégeois a contacté deux services (Spotify et Netflix). En substance, leur réponse était la suivante : « On est au courant de ces pratiques, on lutte contre mais le problème ne vient pas de chez nous, quand on a un doute on contacte les clients concernés ». En effet, il ne s'agit pas d'identifiants et mots de passe récupérés sur leur base de données, mais d'une autre manière.

Insuffisant pour le blogueur : « Des mecs testent des logins sur ces services, et quand ils fonctionnent, la valeur de ces logins augmente. Et donc leur diffusion. Et c’est ça le vrai problème : y a des millions de logins dans la nature. La plupart ne servent à rien. Mais à la seconde où ils fonctionnent sur un service payant de ce genre, la cash machine démarre. Et les comptes, ainsi que les informations qu’ils contiennent de facto, sont jetés en pâture pour une bouchée de pain. Et quand on n’est pas trop un manche en social engineering, on peut quand même en faire deux trois trucs, même avec un numéro partiel de carte de crédit… ».

Une solution pour limiter la casse serait de pousser la double authentification. Dans tous les cas, c'est également l'occasion de rappeler l'importance de bien gérer ses mots de passe et de les changer au moindre soupçon de fuite. Un gestionnaire (voir notre dossier) peut vous aider à les « rafraîchir » rapidement et.ou de manière régulière.

Le 25 avril 2018 à 09h34

Commentaires (14)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Excellent, vraiment excellent article. J’aimerais qu’il y ait un suivi de votre part pour connaitre la suite 

votre avatar

L’article est super et la version podcast est également très propre, foncez lire/écouter ça <img data-src=" />

votre avatar

What the hell did I just read ?&nbsp;<img data-src=" />

C’est impressionnant !&nbsp;

votre avatar

Han putain ! &lt;3 sur vous les inpactiens :)

&nbsp;

votre avatar

J’ai commencé à lire, super interessant, ça va me faire ma journée <img data-src=" />

votre avatar

Super article d’Eric !

(Au passage je vérifie Have I Been Powned comme je fais de temps à autre, bordel, un clavier Android testé y a des années a lâché des infos il y a 4 mois, fait chier)

votre avatar

Rien de surprenant,il y a 10-15 ans déjà des ados de 15 ans (dont je faisais partie) faisaient ce genre de choses autour du warez, des pages de pubs (à base de clique sur mes pubs je clique sur les tiennes) de la vente de comptes volés (WoW, Megaupload, Rapidshare, etc.) et les mélodrames et autres pseudos codes de l’honneur étaient identiques.



Le vrai sport national c’était les pubs et les faux clics via des bots ou l’échange de clics. Avec le recul, les plus grands gagnants de ce système étaient les régies qui voyaient tout ça, mais ça les arrangeait des refacturer ces faux clics ou affichages à leurs clients. De temps en temps ils passaient un coup de filet pour la forme en gelant les comptes mais c’était de la mascarade.



C’était peut-être juste un peu moins industrialisé qu’aujourd’hui, mais y avait moyen de se faire quelques centaines d’euros de revenus facilement et pour un gamin de 14-15 c’est le paradis.

votre avatar

Je pense que c’était encore pire dans le sens ou à l’époque la sécurité était clairement pas là même… Aujourd’hui pour concevoir un outil de ce type il faut toucher sa bille, investir beaucoup de temps car c’est une course face aux entreprises…



Je me souviens des comptes Mega et compagnie… Tu te connectais sur les bon sites et les bonnes bases et tu avais des mises à jours toutes les 30 minutes

votre avatar

Ce qui est assez grave, c’est que Netflix encourage assez largement le partage de compte (cf. l’animation de leur page Facebook…).



Donc qui dit partage de compte, dit circulation de login / mdp entre personnes (avec des identifiants utilisés en général sur tous les autres services de la personne).

votre avatar

C’est rigolo, quand t’organises des concours honnêtes, tu râles de voir toute la triche systématique, les mecs qui s’inscrivent des milliers de fois en automatique, utilisent des scripts pour faire des bons scores, s’échangent des parrainages et des votes pour augmenter leurs chances… Dans ma boite, on a déjà eu un participant qui a réussi à répondre tout juste à un quizz chronométré de

20 questions, en seulement 4sec, alors que les écrans intégraient entre chaque question une

transition d’au moins 1sec !



A voir cet article, c’est pas toujours mieux du côté des organisateurs. Au final, un joueur ne sait pas à qui il s’adresse, un organisateur ne sait pas à quel joueur il s’adresse… Ce milieu est donc bien pourri de bout en bout !



Mais le gain facile et l’argent rapide restent bon vendeurs sur le net, sinon les héritiers de pays étrangers et les tombolas Microsoft pour te faire gagner 10 millions de bitcoins “grâce à un tirage au sort parmi toutes les adresses emails intergalactiques” auraient disparus depuis longtemps de nos boites mails…

votre avatar

Pour Netflix, c’est un peu normal, puisque tu as le droit à plusieurs flux simultanés. Personnellement, ne regardant pas 4 séries en même temps, mon compte est partagé avec plusieurs membres de ma famille.



Il est vrai que j’aurais préféré un système comme Spotify famille où chaque utilisateur a son propre compte mais ce n’est pas la cas avec Netflix …

votre avatar

j’ai déjà eu mon compte spotify “piraté” peut-être via ces méthodes (je sais que j’ai un log+pswd qui traine dans les bdd piratée que j’utilisais depuis 1998, j’ai quasiment remplacé tous les mdp des services concernés), j’ai pas cherché en moins de 30 secondes, changer le mdp et déconnecter tous les appareils connectés à ce compte, je m’en suis rendu compte quand la musique s’est coupée et que le “en écoute sur” était un appareil que je ne connaissais pas, au lieu de “pirater” quand je ne m’en sert pas, en toute discrétion.

votre avatar







tomdom a écrit :



Pour Netflix, c’est un peu normal, puisque tu as le droit à plusieurs flux simultanés. Personnellement, ne regardant pas 4 séries en même temps, mon compte est partagé avec plusieurs membres de ma famille.



&nbsp;Sauf que la promotion de Netflix sur les réseaux sociaux va bien au delà de la famille. Enfin parfois on peut faire plus confiance à des ami(e)s qu’à certains membres de sa propre famille <img data-src=" />


votre avatar







Roxtar! a écrit :



Le vrai sport national c’était les pubs et les faux clics via des bots ou l’échange de clics.&nbsp;



Ah oui, c’est vrai !



Mais tu gagnais des queues de cerises par rapport à ces gens qui se font 2000€ par semaine, non ?


Une plongée en apnée dans les méandres nauséabonds de certains concours Twitter

Fermer