Posté le octobre 31, 2022 à 6:02
TWILIO A RÉVÉLÉ UNE AUTRE VIOLATION DE SON SERVEUR PAR LE MÊME GROUPE
Le fournisseur de services de communication Américain Twilio a récemment révélé avoir subi une autre cyberattaque menée par les mêmes acteurs de la menace à l’origine du piratage du mois d’août qui a conduit à l’accès non autorisé aux données des clients. Twilio a déclaré que la violation s’est produite le 29 juin 2022, soit deux mois avant celle, bien documentée, du mois d’août. Mais celle-ci a été brève et a été déjouée rapidement.
Twilio a expliqué que lors de l’incident de juin, les hackers ont utilisé des techniques d’ingénierie sociale sur les employés de l’entreprise pour obtenir un accès non autorisé. Après que l’employé a fourni les informations de connexion, les criminels ont pu accéder aux informations de contact d’un nombre limité de clients.
En outre, l’accès obtenu par les acteurs de la menace après l’attaque a été bloqué au bout de 12 heures, et les clients concernés ont été alertés le 12 juillet 2022.
Cependant, l’entreprise n’a pas mentionné le nombre exact de clients touchés par la violation, ni pourquoi elle a décidé de révéler l’incident quatre mois après qu’il se soit produit.
L’attaque d’août a touché 163 clients
La société basée à San Francisco a indiqué que 163 clients et 93 utilisateurs d’Authy ont été affectés par la violation le 24 août. Twilio compte plus de 270 000 clients, mais seuls quelques-uns d’entre eux ont été touchés. « 209 clients avaient des comptes qui ont été touchés par l’incident », a déclaré Twilio.
La société indique que son service d’authentification à deux facteurs (2FA) Authy compte environ 75 millions d’utilisateurs au total. Twilio fournit à ses clients un logiciel d’engagement personnalisé. Elle a assuré à ses clients que les informations d’identification des comptes de la console des clients de Twilio n’ont pas été consultées.
Twilio a renforcé son système de sécurité
Twilio a également annoncé qu’elle mettait en place plusieurs dispositifs afin de protéger l’entreprise contre de futures attaques. La société a indiqué qu’elle distribuait des clés de sécurité matérielles conformes à la norme FIDO2 à tous les employés pour une protection accrue. Elle organise également une formation obligatoire à la sécurité pour ses employés et met en place des couches de contrôle supplémentaires au sein de son VPN.
Selon Twilio, l’attaque de ses systèmes a été liée à un groupe de menaces suivi par Group-IB et Okta, portant le nom de Scatter Swine ou 0ktapus. Ce groupe fait partie d’une campagne de piratage plus large et plus complète visant des entreprises du secteur de l’éducation, de la finance, des télécommunications et des logiciels.
Les hackers ont eu accès par le biais de l’appareil de l’employé
Selon le rapport, les chaînes d’attaque comprennent les numéros de téléphone portable des employés. Après avoir identifié leurs numéros de téléphone, les acteurs de la menace appellent ces numéros ou envoient des SMS frauduleux pour inciter les employés à cliquer sur de fausses pages de connexion. Une fois que les employés ont suivi leur demande, les hackers récupèrent les informations d’identification qu’ils ont saisies pour les utiliser ultérieurement. Les informations d’identification sont ensuite analysées et utilisées pour se connecter au site Web principal de l’entreprise.
Il s’agit du processus typique d’une attaque de récolte d’informations d’identification où l’acteur de la menace trouve un moyen d’exploiter l’entreprise ciblée par l’intermédiaire d’un employé.
L’acteur de la menace avait accès aux portails administratifs
Après avoir révélé que les hackers ont eu accès le 7 août, Twilio a déclaré que les hackers ont maintenu l’accès à l’environnement pendant deux jours supplémentaires. « La dernière activité non autorisée observée dans notre environnement a eu lieu le 9 août 2022 », a ajouté la firme.
Une fois dans le système, Twilio a déclaré que les acteurs de la menace avaient accès aux données des clients via les portails administratifs, et accédaient aux codes, ainsi qu’aux comptes Authy 2FA. Twilio a également noté que les attaquants ont également essayé d’obtenir des jetons temporaires en enregistrant leurs propres appareils.
Le système de sécurité de Cloudflare a bloqué les attaquants
Twilio n’était pas la seule entreprise visée par les attaquants lors de l’attaque. On estime qu’environ 136 organisations ont été ciblées, dont Signal, DigitlOcean, MailChimp, Cloudflare, Okta et Klaviyo.
Cloudflare a également révélé avoir subi une attaque de phishing similaire par SMS au cours de laquelle les informations d’identification de ses employés ont été volées. Mais l’entreprise a déclaré que les acteurs de la menace n’ont pas réussi à pénétrer dans ses systèmes. Les tentatives de connexion des hackers ont été bloquées par les clés de sécurité matérielles conformes à la norme FIDO2. Twilio a déclaré qu’après les violations de juin et d’août, elle a décidé de réinitialiser les informations d’identification de tous les comptes d’employés concernés. Elle a aussi distribué des jetons FIDO à tous les employés.
L’attaque d’identification est une autre raison pour laquelle les organisations doivent prendre très au sérieux la formation des employés à la cybersécurité. La plupart des acteurs de la menace passent généralement par les employés lors d’une attaque par hameçonnage pour accéder aux données de l’entreprise. À cet égard, il a été demandé aux entreprises de veiller à ce que leurs employés soient correctement formés à la protection de leurs données et de leurs informations d’identification en ligne.
