Der US-Messaging-Riese Twilio bestätigte, dass er im Juni von einem zweiten Angriff betroffen war, bei dem Cyberkriminelle auf Kundenkontaktinformationen zugegriffen haben.
Die Bestätigung des zweiten Verstoßes – ausgeführt von denselben „0ktapus“-Hackern, die Twilio im August erneut kompromittiert haben – wurde in einem Update zu einem langen Zeitraum begraben Vorfallsbericht die Twilio am Donnerstag abgeschlossen hat.
Twilio sagte, bei dem „kurzen Sicherheitsvorfall“, der sich am 29. Juni ereignete, sahen dieselben Angreifer einen Mitarbeiter durch Voice-Phishing sozial manipulieren, eine Taktik, bei der Hacker betrügerische Telefonanrufe tätigen, die sich als die IT-Abteilung des Unternehmens ausgeben, um Mitarbeiter dazu zu bringen, sensible Daten zu übergeben Information. In diesem Fall gab der Twilio-Mitarbeiter seine Unternehmensanmeldeinformationen an, wodurch der Angreifer auf Kundenkontaktinformationen für eine „begrenzte Anzahl“ von Kunden zugreifen konnte.
„Der Zugriff des Bedrohungsakteurs wurde innerhalb von 12 Stunden identifiziert und gelöscht“, sagte Twilio in seinem Update und fügte hinzu, dass Kunden, deren Informationen von dem Vorfall im Juni betroffen waren, am 2. Juli benachrichtigt wurden.
Auf Nachfrage von Tech weigerte sich Twilio-Sprecherin Laurelle Remzi, die genaue Anzahl der Kunden zu bestätigen, die von der Verletzung im Juni betroffen waren, und lehnte es ab, eine Kopie der Mitteilung zu teilen, die das Unternehmen angeblich an die Betroffenen gesendet hatte. Remzi lehnte es auch ab zu sagen, warum Twilio den Vorfall gerade erst offengelegt hat.
Twilio bestätigte in seinem Update auch, dass die Hacker hinter der Verletzung im August auf die Daten von 209 Kunden zugegriffen haben, eine Steigerung gegenüber 163 Kunden, die am 24. August geteilt wurden. Twilio hat keinen seiner betroffenen Kunden genannt, aber einige – wie die verschlüsselte Messaging-App Signal — Benutzer darüber informiert haben, dass sie von Twilios Datenschutzverletzung betroffen waren. Die Angreifer haben auch die Konten von 93 Authy-Benutzern kompromittiert, Twilios Zwei-Faktor-Authentifizierungs-App, die sie 2015 erworben haben.
„Es gibt keine Beweise dafür, dass die böswilligen Akteure auf die Kontoanmeldeinformationen, Authentifizierungstoken oder API-Schlüssel von Twilio-Kunden zugegriffen haben“, sagte Twilio über die Angreifer, die zwischen dem 7. und 9. August zwei Tage lang den Zugriff auf die interne Umgebung von Twilio aufrechterhielten Bestätigt.
Die Twilio-Verletzung ist Teil einer umfassenderen Kampagne eines als „0ktapus“ getrackten Bedrohungsakteurs, die sich gegen mindestens 130 Organisationen richtete, darunter Mailchimp und Cloudflare. Cloudflare sagte jedoch, dass die Angreifer ihr Netzwerk nicht kompromittieren konnten, nachdem ihre Versuche durch Phishing-resistente Hardware-Sicherheitsschlüssel blockiert worden waren.
Als Teil seiner Bemühungen, die Wirksamkeit ähnlicher Angriffe in Zukunft zu mindern, hat Twilio angekündigt, dass es auch Hardware-Sicherheitsschlüssel für alle Mitarbeiter einführen wird. Twilio lehnte es ab, sich zu seinem Rollout-Zeitplan zu äußern. Das Unternehmen plant außerdem, zusätzliche Kontrollebenen in seinem VPN zu implementieren, bestimmte Funktionen innerhalb bestimmter Verwaltungstools zu entfernen und einzuschränken und die Aktualisierungsfrequenz von Token für Okta-integrierte Anwendungen zu erhöhen.