अगस्त में पहले ट्विलियो और क्लाउडफ्लेयर का उल्लंघन करने वाले हैकर्स ने भी इसी अभियान में 130 से अधिक अन्य संगठनों में घुसपैठ की, ओक्टा के लगभग 10,000 सेट और टू-फैक्टर ऑथेंटिकेशन (2FA) क्रेडेंशियल्स को खाली कर दिया।
यह ग्रुप-आईबी की एक जांच के अनुसार है, जिसमें पाया गया कि कई प्रसिद्ध संगठन बड़े पैमाने पर फ़िशिंग अभियान में लक्षित लोगों में से थे, जिसे वह 0ktapus कहता है। लालच सरल थे, जैसे कि नकली सूचनाएं जो उपयोगकर्ताओं को अपना पासवर्ड रीसेट करने के लिए आवश्यक थीं। उन्हें प्रत्येक विशिष्ट संगठन के ओक्टा प्रमाणीकरण पृष्ठ को प्रतिबिंबित करने वाली स्थिर फ़िशिंग साइटों के लिंक वाले ग्रंथों के माध्यम से भेजा गया था।
"कम-कौशल विधियों का उपयोग करने के बावजूद, [समूह] बड़ी संख्या में प्रसिद्ध संगठनों से समझौता करने में सक्षम था," शोधकर्ताओं ने एक में कहा ब्लॉग पोस्ट आज. "इसके अलावा, एक बार जब हमलावरों ने एक संगठन से समझौता कर लिया, तो वे जल्दी से आगे बढ़ने और आपूर्ति श्रृंखला के हमलों को शुरू करने में सक्षम थे, यह दर्शाता है कि हमले की योजना पहले से सावधानीपूर्वक बनाई गई थी।"
ऐसा ही मामला था ट्विलियो उल्लंघन जो 4 अगस्त को हुआ था। हमलावर कई कर्मचारियों को संगठन में एकल साइन-ऑन के लिए उपयोग किए गए अपने ओक्टा क्रेडेंशियल्स को सौंपने में सक्षम थे, जिससे उन्हें आंतरिक सिस्टम, एप्लिकेशन और ग्राहक डेटा तक पहुंच प्राप्त करने की अनुमति मिली। उल्लंघन ने लगभग 25 डाउनस्ट्रीम संगठनों को प्रभावित किया जो ट्विलियो के फोन सत्यापन और अन्य सेवाओं का उपयोग करते हैं - जिसमें सिग्नल भी शामिल है, जो जारी किया गया है एक बयान इस बात की पुष्टि करते हुए कि घटना में लगभग 1,900 उपयोगकर्ताओं के फोन नंबर अपहृत हो सकते थे।
लक्षित 130 कंपनियों में से अधिकांश अमेरिका में सास और सॉफ्टवेयर कंपनियां थीं - आश्चर्यजनक, इसे देखते हुए हमले की आपूर्ति श्रृंखला प्रकृति.
उदाहरण के लिए, अभियान में अतिरिक्त पीड़ितों में ईमेल मार्केटिंग फर्म Klaviyo और . शामिल हैं Mailchimp. दोनों ही मामलों में, बदमाशों ने अपने क्रिप्टोक्यूरेंसी-संबंधित ग्राहकों के नाम, पते, ईमेल और फोन नंबर के साथ छेड़छाड़ की, जिसमें Mailchimp ग्राहक DigitalOcean (जो बाद में प्रदाता गिरा दिया).
In क्लाउडफ्लेयर का मामला, कुछ कर्मचारी इस चाल के लिए गिर गए, लेकिन हमले को विफल कर दिया गया था, प्रत्येक कर्मचारी को जारी की गई भौतिक सुरक्षा कुंजियों के लिए धन्यवाद, जो सभी आंतरिक अनुप्रयोगों तक पहुंचने के लिए आवश्यक हैं।
ग्रिप सिक्योरिटी के सीईओ और सह-संस्थापक लियोर यारी ने नोट किया कि ग्रुप आईबी के निष्कर्षों से परे उल्लंघन की सीमा और कारण अभी भी अज्ञात है, इसलिए अतिरिक्त पीड़ित प्रकाश में आ सकते हैं।
"सास ऐप के सभी उपयोगकर्ताओं की पहचान करना एक सुरक्षा टीम के लिए हमेशा आसान नहीं होता है, खासकर उन लोगों के लिए जहां उपयोगकर्ता अपने स्वयं के लॉगिन और पासवर्ड का उपयोग करते हैं," उन्होंने चेतावनी दी। "छाया सास की खोज एक साधारण समस्या नहीं है, लेकिन वहाँ समाधान हैं जो छाया सास के लिए उपयोगकर्ता पासवर्ड खोज और रीसेट कर सकते हैं।"
आईएएम पर पुनर्विचार करने का समय?
कुल मिलाकर, अभियान की सफलता सामाजिक इंजीनियरिंग का पता लगाने के लिए मनुष्यों पर निर्भर रहने की समस्या और मौजूदा समय में कमियों को दर्शाती है। पहचान और पहुंच प्रबंधन (आईएएम) के करीब पहुंच गया है।
"हमला दर्शाता है कि आज IAM कितना नाजुक है और उद्योग को उन कर्मचारियों से लॉगिन और पासवर्ड के बोझ को हटाने के बारे में क्यों सोचना चाहिए जो सोशल इंजीनियरिंग और परिष्कृत फ़िशिंग हमले के लिए अतिसंवेदनशील हैं," यारी कहते हैं। "सबसे अच्छा सक्रिय उपचारात्मक प्रयास जो कंपनियां कर सकती हैं, वह है उपयोगकर्ताओं को अपने सभी पासवर्ड रीसेट करना, विशेष रूप से ओकटास".
इस घटना से यह भी पता चलता है कि उद्यम तेजी से आधुनिक वितरित कार्यबल में उत्पादक होने के लिए मोबाइल एंडपॉइंट तक अपने कर्मचारियों की पहुंच पर भरोसा करते हैं, 0ktapus अभिनेताओं जैसे हमलावरों के लिए एक समृद्ध, नया फ़िशिंग ग्राउंड बनाते हैं, रिचर्ड मेलिक के अनुसार, खतरे की रिपोर्टिंग के निदेशक ज़िम्पेरियम।
उन्होंने एक ईमेल बयान में लिखा, "फ़िशिंग से लेकर नेटवर्क खतरों, दुर्भावनापूर्ण एप्लिकेशन से लेकर समझौता किए गए उपकरणों तक, उद्यमों के लिए यह स्वीकार करना महत्वपूर्ण है कि मोबाइल हमले की सतह उनके डेटा और एक्सेस के लिए सबसे बड़ा असुरक्षित वेक्टर है।"
