kata sandi MFA pengguna terbuka, 93 akun pengguna diakses

Pelanggaran Twilio menyebabkan akses ke detail lain dan bahkan kata sandi dua arah atau satu kali

Pelanggaran konsol Twilio menyebabkan akses OTP Okta

Twilio menjadi korban serangan awal bulan ini dan pelaku ancaman selama insiden tersebut berhasil mendapatkan akses ke 93 akun individu. Pengguna pengguna layanan otentikasi dua faktor Authy terpengaruh oleh pelanggaran keamanan.[1] Perusahaan mengkonfirmasi bahwa akses tidak sah memungkinkan musuh untuk mendaftarkan perangkat tambahan ke akun yang disusupi ini.

Perangkat tidak sah yang ditambahkan ke akun yang terpengaruh secara acak kemudian ditemukan dan dihapus, tetapi ada masalah yang berasal dari insiden tersebut.[2] Kampanye pelanggaran dan peretasan dilakukan oleh penyerang bernama Oktapus atau Scatter Swine dan lebih signifikan daripada yang terlihat.

Pelanggaran keamanan adalah serangan phishing dan menunjukkan bahwa serangan tersebut tidak hanya dapat memberikan penyerang akses yang berharga ke jaringan yang ditargetkan, tetapi mereka bahkan dapat memulai serangan rantai pasokan.[3] ketika akses ke satu sistem perusahaan disediakan dan selanjutnya dapat memungkinkan akses ke klien dan sistem, informasi, perangkat mereka.

Selama setahun terakhir, pelaku ancaman telah menerapkan berbagai metode kampanye phishing untuk menargetkan perusahaan teknologi. Banyak dari kampanye ini terkait dengan nama yang sama dengan Scatter Swine. Ini bertujuan untuk menangkap kredensial identitas Okta dan kata sandi atau kode otentikasi.

Berawal dari SMS

Platform keterlibatan pelanggan mengungkapkan bahwa pelaku ancaman yang canggih memperoleh akses melalui phishing berbasis SMS[4] kampanye yang ditujukan kepada staf dengan tujuan mendapatkan informasi jumlah rekening. Serangan itu berhasil mencuri kredensial karyawan.

Serangan berbasis luas terhadap basis karyawan kami ini berhasil menipu beberapa karyawan untuk memberikan kredensial mereka

Penyerang menggunakan kredensial yang dicuri itu untuk mengakses sistem internal tempat data pelanggan tertentu diperoleh. Sampai sekarang, penyelidik menemukan 163 pelanggan yang terkena dampak. Setidaknya 125 dari mereka mendapatkan akun mereka diretas untuk jangka waktu terbatas. Data ini dilakukan kembali setelah kejadian, pada 10 Agustus lalu.[5]

Mengakses konsol Twilio membuka jalan ke data lain

Peretas Twilio menggunakan akses ke konsol dan dapat melihat nomor ponsel dan kata sandi satu kali yang dikirimkan SMS dari pelanggan perusahaan manajemen akses dan identitas Okta. Okta menjanjikan berbagai bentuk otentikasi untuk layanan ini, dan itu termasuk kode sementara yang dikirim melalui SMS melalui Twilio.

Pada saat peretasan awal, salah satu layanan yang digunakan Okta untuk pelanggan yang memilih SMS sebagai faktor otentikasi disediakan oleh Twilio. Kemudian, Okta mengetahui tentang peretasan dan pemaparan data yang tidak ditentukan yang relevan dengan perusahaan mereka dan mulai mengubah rute komunikasi berbasis SMS melalui penyedia yang berbeda.

Okta kemudian dapat menentukan bahwa pelaku ancaman berhasil mengakses nomor telepon dan kode sandi satu kali milik pelanggan mereka. Pejabat mencatat bahwa kode OTP tetap berlaku tidak lebih dari 5 menit, jadi tidak ada akses lebih lanjut ke perangkat atau akun yang dapat diperoleh.

Perusahaan juga mencatat bahwa penyusup mencari 38 nomor telepon, dan hampir semuanya terkait dengan satu organisasi, sehingga jaringan klien tertentu tampaknya menjadi target. Namun, penyelidikan Okta menunjukkan bahwa pelaku ancaman tidak menggunakan ponsel yang mungkin telah diakses oleh neem.

Spyware dan Virus