Twilio Hackers Scarf 10K Okta Credentials laajenemassa toimitusketjuhyökkäyksessä

Twilion ja Cloudflaren aiemmin elokuussa murtaneet hakkerit soluttautuivat myös yli 130 muuhun organisaatioon samassa kampanjassa ja imuroivat lähes 10,000 2 sarjaa Okta- ja kaksitekijätodennusta (XNUMXFA).

Näin käy ilmi Group-IB:n tekemästä tutkimuksesta, jossa todettiin, että useat tunnetut organisaatiot joutuivat 0ktapusiksi kutsutun massiivisen tietojenkalastelukampanjan kohteeksi. Vieheet olivat yksinkertaisia, kuten väärennetyt ilmoitukset, joita käyttäjät tarvitsivat salasanansa nollaamiseen. Ne lähetettiin tekstiviesteinä, joissa oli linkkejä staattisille tietojenkalastelusivustoille, jotka peilaavat kunkin organisaation Okta-todennussivua.

"Matalista menetelmistä huolimatta [ryhmä] pystyi vaarantamaan suuren joukon tunnettuja organisaatioita", tutkijat sanoivat blogiviesti tänään. "Lisäksi, kun hyökkääjät olivat vaarantaneet organisaation, he pystyivät nopeasti kääntymään ja käynnistämään myöhempiä toimitusketjuhyökkäyksiä, mikä osoittaa, että hyökkäys oli suunniteltu huolellisesti etukäteen."

Näin oli asian kanssa Twilion rikkomus joka tapahtui 4. elokuuta. Hyökkääjät onnistuivat ohjaamaan useita työntekijöitä luovuttamaan Okta-tunnistetiedot, joita käytettiin kertakirjautumisessa kaikkialla organisaatiossa, jolloin he pääsivät käsiksi sisäisiin järjestelmiin, sovelluksiin ja asiakastietoihin. Rikkomus vaikutti noin 25 loppupään organisaatioon, jotka käyttävät Twilion puhelinvahvistusta ja muita palveluita – mukaan lukien Signal, joka myönsi lausuma vahvistaa, että noin 1,900 XNUMX käyttäjän puhelinnumerot olisi voitu kaapata tapauksen yhteydessä.

Suurin osa 130 kohdeyrityksestä oli SaaS- ja ohjelmistoyrityksiä Yhdysvalloissa – ei ole yllättävää, kun otetaan huomioon hyökkäyksen toimitusketjun luonne.

Muita uhreja kampanjassa ovat esimerkiksi sähköpostimarkkinointiyritykset Klaviyo ja MailChimp. Molemmissa tapauksissa roistot tekivät kryptovaluuttoihin liittyvien asiakkaidensa nimiä, osoitteita, sähköpostiosoitteita ja puhelinnumeroita, mukaan lukien Mailchimp-asiakkaan DigitalOceanin (joka myöhemmin hylkäsi palveluntarjoajan).

In Cloudflaren tapaus, jotkut työntekijät innostuivat juonista, mutta hyökkäys tyrehtyi jokaiselle työntekijälle myönnettyjen fyysisten suojausavaimien ansiosta, jotka vaaditaan kaikkien sisäisten sovellusten käyttöön.

Grip Securityn toimitusjohtaja ja toinen perustaja Lior Yaari huomauttaa, että IB:n havaintojen ulkopuolisen rikkomuksen laajuus ja syy ovat edelleen tuntemattomia, joten lisää uhreja saattaa tulla ilmi.

"Kaikkien SaaS-sovelluksen käyttäjien tunnistaminen ei ole aina helppoa turvallisuustiimille, varsinkaan niille, joissa käyttäjät käyttävät omia tunnuksiaan ja salasanojaan", hän varoittaa. "Shadow SaaS -etsintä ei ole yksinkertainen ongelma, mutta on olemassa ratkaisuja, jotka voivat löytää ja nollata varjo-SaaS-käyttäjien salasanat."

Onko aika miettiä IAM uudelleen?

Kaiken kaikkiaan kampanjan menestys havainnollistaa vaikeuksia luottaa siihen, että ihmiset havaitsevat sosiaalisen manipuloinnin, ja aukkoja olemassa olevissa identiteetin ja pääsyn hallinta (IAM) lähestyy.

"Hyökkäys osoittaa, kuinka hauras IAM on nykyään ja miksi alan pitäisi harkita sisäänkirjautumisten ja salasanojen taakan poistamista työntekijöiltä, ​​jotka ovat alttiita sosiaaliselle manipulaatiolle ja kehittyneelle tietojenkalasteluhyökkäykselle", Yaari sanoo. "Paras ennakoiva korjaustoimi, jonka yritykset voivat tehdä, on pyytää käyttäjiä nollaamaan kaikki salasanansa, varsinkin Okta"

Tapaus osoittaa myös, että yritykset luottavat yhä enemmän työntekijöidensä pääsyyn mobiilipäätepisteisiin ollakseen tuottavia nykyaikaisessa hajautetussa työvoimassa, mikä luo rikkaan, uuden tietojenkalastelukentän hyökkääjille, kuten 0ktapus-toimijoille, kertoo Richard Melick, uhkaraportoinnin johtaja. Zimperium.

"Tietojenkalastelusta verkkouhkiin, haitallisista sovelluksista vaarantuneisiin laitteisiin yritysten on tärkeää tunnustaa, että mobiilihyökkäyspinta on suurin suojaamaton vektori heidän tietoihinsa ja pääsyyn", hän kirjoitti sähköpostilla.