La empresa de comunicaciones en la nube Twilio reveló una nueva violación de datos derivada de un incidente de seguridad de junio de 2022 en el que los mismos atacantes detrás del ataque de agosto accedieron a la información de algunos clientes.
Twilio dice que este fue un «breve incidente de seguridad» el 29 de junio. El atacante usó ingeniería social para engañar a un empleado para que entregara sus credenciales en un ataque de phishing de voz.
Las credenciales robadas luego se usaron «para acceder a la información de contacto del cliente para un número limitado de clientes».
«El acceso del actor de amenazas fue identificado y erradicado en 12 horas. Los clientes cuya información se vio afectada por el incidente de junio fueron notificados el 2 de julio de 2022», reveló la compañía el jueves.
209 clientes afectados por el incumplimiento de agosto
Twilio también compartió que los piratas informáticos detrás de la violación de agosto habían accedido a los datos de 209 clientes y 93 usuarios finales de Authy después de violar algunos sistemas internos que no son de producción utilizando las credenciales de los empleados robadas en un ataque de phishing por SMS.
«209 clientes, de una base total de clientes de más de 270,000, y 93 usuarios finales de Authy, de aproximadamente 75 millones de usuarios totales, tenían cuentas que se vieron afectadas por el incidente», dijo Twilio .
Los productos de Tenable lo ayudan a identificar, investigar y priorizar con precisión las vulnerabilidades. Asegure su nube, contenedores, dispositivos OT y activos de TI tradicionales.
Conocer..
Después de concluir la investigación del incidente, Twilio tampoco encontró evidencia de que se haya accedido a ninguna de las credenciales de la cuenta de la consola de sus clientes, claves API o tokens de autenticación.
Si bien la empresa reveló el incidente el 7 de agosto, ahora reveló que los atacantes mantuvieron el acceso a este entorno durante dos días más.
“La última actividad no autorizada observada en nuestro entorno fue el 9 de agosto de 2022”, agregó la compañía.
Campaña coordinada de phishing por SMS a gran escala
Como dijo Twilio después del incidente de agosto, los atacantes obtuvieron acceso a su red utilizando las credenciales de los empleados robadas en un ataque de phishing por SMS.
Una vez dentro de los sistemas de Twilio, los piratas informáticos accedieron a los datos de los clientes mediante portales administrativos , accedieron a cuentas y códigos Authy 2FA y registraron sus propios dispositivos para obtener tokens temporales.
La violación de datos de Twilio es parte de una campaña más extensa de un actor de amenazas rastreado como Scatter Swine o 0ktapus que se dirigió a al menos 130 organizaciones, incluidas MailChimp , Klaviyo y Cloudflare .
Cloudflare, que también reveló que a sus empleados les robaron sus credenciales en un ataque similar de phishing por SMS, dijo que los atacantes no lograron violar sus sistemas después de que sus intentos de inicio de sesión fueran bloqueados por claves de seguridad de hardware compatibles con FIDO2 emitidas por la empresa.
Como resultado de las infracciones de junio y agosto, Twilio dice que restableció las credenciales de las cuentas de usuario de los empleados comprometidos y está distribuyendo tokens FIDO2 a todos los empleados.
Fuentes: www.bleepingcomputer.com
