twilio:-un'altra-violazione-dagli-stessi-hacker-|-sicurezza.net

Twilio: un'altra violazione dagli stessi hacker | sicurezza.net

Twilio ha rivelato di aver subito un’ulteriore violazione da parte degli stessi hacker, dopo quella dello scorso agosto.

Vediamo insieme cos’è successo.

Twilio: le dichiarazioni sull’attacco

Questa settimana il fornitore di servizi di comunicazione Twilio ha reso noto di aver subito un altro incidente di sicurezza nel giugno 2022. Questo attacco è stato perpetrato dallo stesso attore di minacce dietro l’hack dello scorso agosto, che ha portato all’accesso non autorizzato alle informazioni dei clienti.

Il 29 giugno 2022 è avvenuto un evento di sicurezza, come dichiarato dall’azienda in un avviso aggiornato condiviso questa settimana, come parte della sua indagine sull’intrusione digitale.

Questa la dichiarazione rilasciata da Twilio:

Nell’incidente di giugno, un dipendente di Twilio è stato socialmente manipolato attraverso il phishing vocale (o ‘vishing’) per fornire le proprie credenziali, e l’attore malintenzionato è stato in grado di accedere alle informazioni di contatto dei clienti per un numero limitato di clienti.

Ha inoltre detto che l’accesso ottenuto in seguito all’attacco è stato identificato e sventato entro 12 ore. Successivamente sono stati avvisati tutti i clienti interessati il 2 luglio 2022.

La seconda violazione

L’azienda di San Francisco non ha rivelato il numero esatto di clienti colpiti dall’incidente di giugno, né il motivo per cui la comunicazione è stata fatta quattro mesi dopo il suo verificarsi. I dettagli della seconda violazione sono arrivati quando Twilio ha notato che gli attori della minaccia hanno avuto accesso ai dati di 209 clienti, rispetto ai 163 segnalati il 24 agosto, e di 93 utenti Authy.

Twilio offre un software personalizzato che coinvolge oltre 270.000 clienti. Allo stesso modo il suo servizio di autenticazione a due fattori Authy viene utilizzato da circa 75 milioni di utenti totali.

L’azienda ha inoltre aggiunto che:

L’ultima attività non autorizzata osservata nel nostro ambiente risale al 9 agosto 2022. Non ci sono prove che gli attori malintenzionati abbiano avuto accesso alle credenziali dell’account della console dei clienti Twilio, ai token di autenticazione o alle chiavi API.

Nuove norme di sicurezza per Twilio

Per mitigare tali attacchi in futuro, Twilio ha dichiarato che sta distribuendo chiavi di sicurezza hardware conformi a FIDO2 a tutti i dipendenti. Inoltre, sta implementando ulteriormente i livelli di controllo all’interno della sua VPN e conducendo una formazione obbligatoria sulla sicurezza per i dipendenti per migliorare la consapevolezza degli attacchi di social engineering.

L’attacco contro Twilio è stato attribuito a un gruppo di hacker rintracciato da Group-IB e Okta con i nomi 0ktapus e Scatter Swine. Questi ultimi fanno parte di una campagna più ampia contro aziende di software, telecomunicazioni, finanza e istruzione.

Le catene di infezione prevedevano l’identificazione dei numeri di cellulare dei dipendenti, quindi l’invio di SMS errati o di chiamate a questi numeri per indurli a cliccare su pagine di login fasulle e raccogliere le credenziali inserite per successive operazioni di ricognizione all’interno delle reti.

Si stima che siano state prese di mira 136 organizzazioni, tra cui:

  • Klaviyo
  • MailChimp
  • DigitalOcean
  • Signal
  • Okta

È stato preso di mira anche Cloudflare, ma quest’ultimo attacco non sembrerebbe non essere andato a buon fine.

Related Posts

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *