Posté le octobre 29, 2022 à 6:34
LE NOMBRE DE CLIENTS TOUCHÉS PAR LE PIRATAGE DE TWILIO AUGMENTE SUITE À LA DÉTECTION D’UNE DEUXIÈME VIOLATION
Twilio, l’une des plus grandes plateformes de messagerie des États-Unis, a annoncé qu’elle avait été touchée par une autre violation survenue en juin. À la suite de cette violation, des hackers ont réussi à accéder aux informations personnelles de clients.
Twilio subit une deuxième violation
Selon l’entreprise, la deuxième violation a été menée par le groupe de hackers 0ktapus. Ce même groupe était responsable d’un autre piratage de la plate-forme de messagerie en août. L’entreprise a indiqué que la deuxième violation était cachée dans une mise à jour d’un long rapport d’incident que le géant de la messagerie avait rempli jeudi.
Twilio a qualifié la violation de « bref incident de sécurité ». La société a déclaré que la violation s’est produite le 29 juin et que le même groupe de hackers a utilisé une technique d’hameçonnage vocal pour manipuler un employé.
Le hameçonnage vocal est une méthode utilisée par un hacker pour passer des appels téléphoniques malveillants en se faisant passer pour le service informatique de l’entreprise. Les appels téléphoniques sont passés pour inciter les employés de l’entreprise à partager des informations sensibles.
Dans le cas de Twilio, les hackers ont réussi à inciter un employé à partager les informations d’identification de l’entreprise. Ces informations ont permis au hacker d’accéder aux coordonnées des clients sur la plateforme. La violation a touché un « nombre limité » de clients.
Dans son rapport, Twilio a également ajouté que l’accès dont a bénéficié l’acteur de la menace a été identifié et supprimé dans les 12 heures. La société a également ajouté que les clients dont les données personnelles ont été affectées par la violation survenue en juin ont été informés de l’événement le 12 juillet.
Une porte-parole de Twilio, Laurelle Remzi, a été contactée par une agence de presse mais n’a pas voulu donner d’informations sur cette attaque. Mme Remzi n’a pas fourni le nombre exact de clients touchés par la violation. La porte-parole n’a pas non plus fourni de copie de l’avis envoyé aux clients concernés.
La plateforme de messagerie n’a pas fourni de raison pour ne divulguer les détails de ce piratage que maintenant. Dans son communiqué, Twilio indique que les hackers responsables de la violation du mois d’août ont réussi à accéder aux données de 209 clients. Il s’agit d’une augmentation significative par rapport aux 163 clients qu’elle avait signalés le 24 août.
Twilio n’a pas mentionné les noms des clients dont les données de contact ont été consultées par le groupe de hackers. Toutefois, certaines parties concernées, comme l’application de messagerie Signal, ont informé les utilisateurs qu’elles avaient été touchées par l’attaque de Twilio.
Les attaquants ont compromis les comptes de 93 utilisateurs d’Authy. Authy est une application d’authentification à deux facteurs que Twilio a acquise en 2015.
Twilio a également déclaré qu’il n’y avait aucune preuve montrant que les acteurs de la menace avaient accédé aux informations d’identification des comptes de la console des clients. La société a par ailleurs noté que les clés d’authentification et d’API sont restées en sécurité. L’entreprise a également ajouté que les attaquants ont eu accès à l’environnement interne de Twilio pendant deux jours. Cela s’est passé entre le 7 et le 9 août.
Campagne de piratage de 0ktapus
Le groupe de hackers 0ktapus a été très actif dans le lancement d’attaques coordonnées visant plusieurs organisations. L’attaque contre Twilio faisait partie d’une campagne plus vaste où les opérations de l’acteur de la menace ont été détectées. La campagne a ciblé environ 130 organisations, telles que Cloudflare et Mailchimp.
Cloudflare a en outre déclaré que les attaquants n’ont pas réussi à compromettre son réseau. Les tentatives des attaquants d’attaquer le réseau Cloudflare ont été rapidement détectées et bloquées à l’aide de clés de sécurité matérielles résistantes aux tentatives de phishing.
Twilio prend déjà des mesures pour s’assurer que de telles attaques ne se reproduisent pas. L’entreprise évalue l’efficacité des pratiques d’atténuation qu’elle a mises en place pour garantir que l’attaque ne se reproduira pas à l’avenir.
L’une des recommandations de Twilio est d’annoncer qu’elle prévoit de lancer des clés de sécurité matérielles qui seront disponibles pour tous les employés. Cependant, Twilio n’a pas fourni de calendrier pour le lancement de ces clés.
L’autre proposition faite par l’entreprise consiste à déployer des couches supplémentaires de contrôle au sein de son réseau VPN. Elle prévoit également de supprimer et de limiter certaines fonctionnalités au sein de l’outillage administratif spécial. L’entreprise prévoit également d’augmenter la fréquence de rafraîchissement des jetons dans les applications intégrées à Okta. Ces mesures devraient réduire la possibilité qu’une telle violation se reproduise, tout en ajoutant une couche supplémentaire de sécurité aux données des clients.