Häkkerid, kes rikkusid augustis Twiliot ja Cloudflare'i, imbusid sama kampaania raames ka rohkem kui 130 muusse organisatsiooni, võttes tolmuimejaga kokku ligi 10,000 2 komplekti Okta ja kahefaktorilise autentimise (XNUMXFA) mandaate.
Nii selgub Group-IB uurimisest, mis leidis, et mitmed tuntud organisatsioonid olid nende hulgas, kes olid suunatud massilisele andmepüügikampaaniale, mida nimetatakse 0ktapuseks. Peibutised olid lihtsad, näiteks võltsitud teatised, mida kasutajatel oli vaja paroolide lähtestamiseks. Need saadeti tekstide kaudu, mis sisaldasid linke staatilistele andmepüügisaitidele, mis peegeldavad iga konkreetse organisatsiooni Okta autentimislehte.
"Vaatamata madalate oskustega meetodite kasutamisele suutis [rühm] kahjustada paljusid tuntud organisatsioone," ütlesid teadlased täna blogipostitus. "Lisaks, kui ründajad olid organisatsiooni kompromiteerinud, suutsid nad kiiresti pöörata ja käivitada järgnevad tarneahela rünnakud, mis näitab, et rünnak oli hoolikalt ette planeeritud."
Nii juhtus ka Twilio rikkumine mis leidis aset 4. augustil. Ründajad suutsid mitut töötajat sotsiaalselt mõjutada, et nad annaksid üle kogu organisatsioonis ühekordseks sisselogimiseks kasutatud Okta mandaadid, võimaldades neil pääseda ligi sisemistele süsteemidele, rakendustele ja kliendiandmetele. Rikkumine mõjutas umbes 25 alljärgnevat organisatsiooni, mis kasutavad Twilio telefoni kinnitamise ja muid teenuseid – sealhulgas Signali, mis väljastas seisukoht kinnitades, et juhtumi käigus võidi kaaperdada umbes 1,900 kasutaja telefoninumbrid.
Enamik 130 sihitud ettevõttest olid USA SaaS- ja tarkvaraettevõtted – see pole üllatav, arvestades rünnaku olemus.
Näiteks on kampaania täiendavate ohvrite hulgas meiliturunduse ettevõtted Klaviyo ja MailChimp. Mõlemal juhul kasutasid kelmid oma krüptorahaga seotud klientide nimesid, aadresse, e-posti aadresse ja telefoninumbreid, sealhulgas Mailchimpi kliendi DigitalOceani jaoks (mis hiljem loobus teenusepakkujast).
In Cloudflare'i juhtum, langesid mõned töötajad kavalusse, kuid rünnak nurjati tänu igale töötajale väljastatud füüsilistele turvavõtmetele, mis on vajalikud kõikidele sisemistele rakendustele juurdepääsuks.
Grip Security tegevjuht ja kaasasutaja Lior Yaari märgib, et rikkumise ulatus ja põhjus väljaspool Group IB leide on endiselt teadmata, mistõttu võib päevavalgele tulla täiendavaid ohvreid.
"Saas-rakenduse kõigi kasutajate tuvastamine ei ole turvameeskonna jaoks alati lihtne, eriti nendel, kus kasutajad kasutavad oma sisselogimisi ja paroole," hoiatab ta. "Vari SaaS-i avastamine ei ole lihtne probleem, kuid seal on lahendusi, mis võivad tuvastada ja lähtestada vari-SaaS-i kasutajaparoolid."
Aeg IAM ümber mõelda?
Üldiselt illustreerib kampaania edu raskusi, mis on seotud inimestega sotsiaalse manipuleerimise tuvastamisel, ja lünki olemasolevates identiteedi ja juurdepääsu haldamine (IAM) läheneb.
"Rünnak näitab, kui habras on IAM täna ja miks peaks tööstus mõtlema sisselogimiste ja paroolide koormuse eemaldamisele töötajatelt, kes on vastuvõtlikud sotsiaalsele manipuleerimisele ja keerukatele andmepüügirünnakutele," ütleb Yaari. "Parim ennetav parandustegevus, mida ettevõtted saavad teha, on lasta kasutajatel lähtestada kõik oma paroolid, eriti Okta. "
Juhtum juhib tähelepanu ka sellele, et ettevõtte ohuaruandluse direktor Richard Melicki sõnul toetuvad ettevõtted üha enam oma töötajate juurdepääsule mobiilsetele lõpp-punktidele, et olla kaasaegses hajutatud tööjõus tootlikud, luues rikkaliku uue andmepüügimaa ründajatele, nagu 0ktapuse näitlejad. Zimperium.
"Alates andmepüügist kuni võrguohtudeni, pahatahtlikest rakendustest kuni ohustatud seadmeteni, on oluline, et ettevõtted tunnistaksid, et mobiilne ründepind on nende andmete ja juurdepääsu suurim kaitsmata vektor," kirjutas ta e-kirjas saadetud avalduses.
