Twilio ha rivelato di aver subito un’ulteriore violazione da parte degli stessi hacker, dopo quella dello scorso agosto.
Vediamo insieme cos’è successo.
Twilio: le dichiarazioni sull’attacco
Questa settimana il fornitore di servizi di comunicazione Twilio ha reso noto di aver subito un altro incidente di sicurezza nel giugno 2022. Questo attacco è stato perpetrato dallo stesso attore di minacce dietro l’hack dello scorso agosto, che ha portato all’accesso non autorizzato alle informazioni dei clienti.
Il 29 giugno 2022 è avvenuto un evento di sicurezza, come dichiarato dall’azienda in un avviso aggiornato condiviso questa settimana, come parte della sua indagine sull’intrusione digitale.
Questa la dichiarazione rilasciata da Twilio:
Nell’incidente di giugno, un dipendente di Twilio è stato socialmente manipolato attraverso il phishing vocale (o ‘vishing’) per fornire le proprie credenziali, e l’attore malintenzionato è stato in grado di accedere alle informazioni di contatto dei clienti per un numero limitato di clienti.
Ha inoltre detto che l’accesso ottenuto in seguito all’attacco è stato identificato e sventato entro 12 ore. Successivamente sono stati avvisati tutti i clienti interessati il 2 luglio 2022.
La seconda violazione
L’azienda di San Francisco non ha rivelato il numero esatto di clienti colpiti dall’incidente di giugno, né il motivo per cui la comunicazione è stata fatta quattro mesi dopo il suo verificarsi. I dettagli della seconda violazione sono arrivati quando Twilio ha notato che gli attori della minaccia hanno avuto accesso ai dati di 209 clienti, rispetto ai 163 segnalati il 24 agosto, e di 93 utenti Authy.
Twilio offre un software personalizzato che coinvolge oltre 270.000 clienti. Allo stesso modo il suo servizio di autenticazione a due fattori Authy viene utilizzato da circa 75 milioni di utenti totali.
L’azienda ha inoltre aggiunto che:
L’ultima attività non autorizzata osservata nel nostro ambiente risale al 9 agosto 2022. Non ci sono prove che gli attori malintenzionati abbiano avuto accesso alle credenziali dell’account della console dei clienti Twilio, ai token di autenticazione o alle chiavi API.
Nuove norme di sicurezza per Twilio
Per mitigare tali attacchi in futuro, Twilio ha dichiarato che sta distribuendo chiavi di sicurezza hardware conformi a FIDO2 a tutti i dipendenti. Inoltre, sta implementando ulteriormente i livelli di controllo all’interno della sua VPN e conducendo una formazione obbligatoria sulla sicurezza per i dipendenti per migliorare la consapevolezza degli attacchi di social engineering.
L’attacco contro Twilio è stato attribuito a un gruppo di hacker rintracciato da Group-IB e Okta con i nomi 0ktapus e Scatter Swine. Questi ultimi fanno parte di una campagna più ampia contro aziende di software, telecomunicazioni, finanza e istruzione.
Le catene di infezione prevedevano l’identificazione dei numeri di cellulare dei dipendenti, quindi l’invio di SMS errati o di chiamate a questi numeri per indurli a cliccare su pagine di login fasulle e raccogliere le credenziali inserite per successive operazioni di ricognizione all’interno delle reti.
Si stima che siano state prese di mira 136 organizzazioni, tra cui:
- Klaviyo
- MailChimp
- DigitalOcean
- Signal
- Okta
È stato preso di mira anche Cloudflare, ma quest’ultimo attacco non sembrerebbe non essere andato a buon fine.
