Der US-Nachrichtengigant Twilio hat bestätigt, dass Hacker auch die Konten einiger Authy-Benutzer als Teil eines umfassenderen Angriffs auf die Systeme von Twilio kompromittiert haben. Authy ist die Zwei-Faktor-Authentifizierungs-App (2FA) von Twilio, die 2015 erworben wurde.
Die Datenschutzverletzung von Twilio Anfang dieses Monats, bei der böswillige Akteure auf die Daten von über 100 Twilio-Kunden zugegriffen haben, nachdem sie mehrere Mitarbeiter erfolgreich per Phishing missbraucht hatten, nimmt weiter an Ausmaß zu. Forscher haben diese Woche den Angriff auf Twilio und andere mit einer umfassenderen Phishing-Kampagne einer Hacking-Gruppe namens „0ktapus“ in Verbindung gebracht, die seit März fast 10.000 Mitarbeiteranmeldeinformationen von mindestens 130 Organisationen gestohlen hat.
Nun hat Twilio bestätigt, dass auch Authy-Benutzer von dem Verstoß betroffen waren.
In einem (n aktualisieren In seinem Vorfallbericht vom 24. August sagte Twilio, dass die Hacker Zugriff auf die Konten von 93 einzelnen Authy-Benutzern und registrierten zusätzlichen Geräten erlangten, was es den Angreifern effektiv ermöglichte, Anmeldecodes für jedes verbundene 2FA-fähige Konto zu generieren.
Das Unternehmen sagte, es habe „seitdem nicht autorisierte Geräte aus diesen Authy-Konten identifiziert und entfernt“ und rät betroffenen Authy-Benutzern, die es kontaktiert hat, verknüpfte Konten auf verdächtige Aktivitäten zu überprüfen. Es wird außerdem empfohlen, dass Benutzer alle Geräte überprüfen, die mit ihren Authy-Konten verbunden sind, und „Mehrere Geräte zulassen“ in der Authy-Anwendung deaktivieren, um das Hinzufügen neuer Geräte zu verhindern.
Während die Verwendung einer Zwei-Faktor-Authentifizierung besser ist als keine, entwickeln Hacker zunehmend neue Wege, um Benutzer dazu zu bringen, App-basierte Codes zu übergeben, die im Allgemeinen weitaus schwieriger zu erhalten sind als Codes, die per Textnachricht gesendet werden.
Twilio sagte in dem Update auch, dass die Zahl der kompromittierten Twilio-Kunden von 125 auf 163 gestiegen ist, wobei Hacker für einen „begrenzten Zeitraum“ auf Daten dieser Organisationen zugreifen. Twilio hat seine betroffenen Kunden nicht genannt, aber einige – wie die verschlüsselte Messaging-App Signal – haben ihre eigenen Benutzer darüber informiert, dass sie von der Twilio-Verletzung betroffen waren.
Der Identitätsriese Okta bestätigte am Donnerstag auch, dass er infolge der Twilio-Verletzung kompromittiert wurde. Das Unternehmen sagte in einem Blogbeitrag dass die Hacker – die als „Scatter Swine“ bezeichnet werden – Okta-Anmeldeseiten gefälscht haben, um Organisationen anzugreifen, die auf den Single-Sign-On-Service des Unternehmens angewiesen sind. Okta sagte, dass die Hacker, als sie Zugriff auf die interne Konsole von Twilio erhielten, eine „kleine Anzahl“ von Okta-Kundentelefonnummern und SMS-Nachrichten erhielten, die Einmalpasswörter enthielten. Dies ist das zweite Mal, dass Okta in diesem Jahr einen Sicherheitsvorfall meldet.
In seiner Analyse der Phishing-Kampagne sagte Okta, dass Hacker von Scatter Swine wahrscheinlich Mobiltelefonnummern von Datenaggregationsdiensten gesammelt haben, die Telefonnummern mit Mitarbeitern bestimmter Organisationen verknüpfen. Mindestens einer der Hacker rief gezielt Mitarbeiter an, die sich als IT-Support ausgaben, und bemerkte, dass der Akzent des Hackers „scheinbar nordamerikanisch“ sei. Dies könnte mit der Group-IB-Untersuchung dieser Woche übereinstimmen, die darauf hindeutet, dass einer der an der Kampagne beteiligten Hacker in North Carolina ansässig sein könnte.
DoorDash bestätigte am Donnerstag diese Woche auch, dass es von derselben Hackergruppe kompromittiert wurde. Der Lebensmittellieferant teilte Tech mit, dass böswillige Hacker Anmeldeinformationen von Mitarbeitern eines Drittanbieters gestohlen haben, die dann verwendet wurden, um Zugriff auf einige der internen Tools von DoorDash zu erhalten. Das Unternehmen lehnte es ab, den Drittanbieter zu nennen, bestätigte jedoch, dass es sich bei dem Anbieter nicht um Twilio handelte.