Au cours des dernières semaines, le fournisseur de sécurité Twilio a révélé qu’il avait été piraté par des hameçonneurs bien équipés, qui ont utilisé leur accès pour voler les données de 163 de ses clients. La société de sécurité Group-IB, quant à elle, a déclaré que les mêmes hameçonneurs qui ont frappé Twilio ont violé au moins 136 entreprises lors d’attaques avancées similaires.
Ces derniers jours, trois sociétés, Authy, propriété de Twilio, le gestionnaire de mots de passe LastPass et le réseau de livraison de nourriture DoorDash, ont toutes divulgué des violations de données qui semblent être liées à la même activité. Le service d’authentification Okta et le fournisseur de messagerie sécurisée Signal ont tous deux récemment déclaré que leurs données avaient été consultées à la suite de la violation de Twilio.
Group-IB a déclaré jeudi qu’au moins 136 entreprises avaient été hameçonnées par le même acteur menaçant que Twilio. DoorDash est l’un d’entre eux, a déclaré un représentant de l’entreprise à TechCrunch.
Ingénieux
Les compromis d’Authy et LastPass sont les plus préoccupants des nouvelles révélations. Authy dit qu’il stocke des jetons d’authentification à deux facteurs pour 75 millions d’utilisateurs. Compte tenu des mots de passe que l’acteur de la menace a déjà obtenus lors de violations précédentes, ces jetons ont peut-être été les seuls éléments empêchant la prise de contrôle de plusieurs comptes. Authy a déclaré que l’acteur de la menace utilisait son accès pour se connecter à seulement 93 comptes individuels et inscrire de nouveaux appareils pouvant recevoir des mots de passe à usage unique. Selon à qui appartiennent ces comptes, cela pourrait être très mauvais. Authy a déclaré avoir depuis supprimé les appareils non autorisés de ces comptes.
LastPass a déclaré qu’un acteur de la menace avait obtenu un accès non autorisé via un seul compte de développeur compromis à des parties de l’environnement de développement du gestionnaire de mots de passe. À partir de là, l’auteur de la menace « a pris des parties du code source et des informations techniques propriétaires de LastPass ». LastPass a déclaré que les mots de passe principaux, les mots de passe cryptés et les autres données stockées dans les comptes clients, ainsi que les informations personnelles des clients n’étaient pas affectés. Bien que les données LastPass connues pour être obtenues ne soient pas particulièrement sensibles, toute violation impliquant un important fournisseur de gestion de mots de passe est grave, compte tenu de la richesse des données qu’il stocke.
DoorDash a également déclaré qu’un nombre non divulgué de clients s’était fait voler leurs noms, adresses e-mail, adresses de livraison, numéros de téléphone et numéros de cartes de paiement partiels par le même acteur de la menace, que certains appellent Scatter Swine. L’auteur de la menace a obtenu les noms, numéros de téléphone et adresses e-mail d’un nombre non divulgué d’entrepreneurs DoorDash.
Comme déjà signalé, l’attaque de phishing initiale sur Twilio a été bien planifiée et exécutée avec une précision chirurgicale. Les acteurs de la menace avaient des numéros de téléphone privés d’employés, plus de 169 domaines contrefaits imitant Okta et d’autres fournisseurs de sécurité, et la possibilité de contourner les protections 2FA qui utilisaient des mots de passe à usage unique.
La capacité de l’acteur menaçant à exploiter les données obtenues lors d’une brèche pour lancer des attaques de la chaîne d’approvisionnement contre les clients des victimes – et sa capacité à ne pas être détecté depuis mars – démontre son ingéniosité et ses compétences. Il n’est pas rare que les entreprises qui annoncent des violations mettent à jour leurs divulgations dans les jours ou les semaines qui suivent pour inclure des informations supplémentaires qui ont été compromises. Il ne sera pas surprenant qu’une ou plusieurs victimes ici fassent de même.
S’il y a une leçon dans tout ce gâchis, c’est que tous les 2FA ne sont pas égaux. Les mots de passe à usage unique envoyés par SMS ou générés par des applications d’authentification sont aussi hameçonnables que les mots de passe, et c’est ce qui a permis aux pirates de contourner cette dernière forme de défense contre les usurpations de compte.
Une entreprise qui a été ciblée mais qui n’a pas été victime était Cloudflare. La raison : les employés de Cloudflare se sont appuyés sur 2FA qui utilisaient des clés physiques telles que Yubikeys, qui, avec d’autres formes de 2FA conformes à FIDO2, ne peuvent pas être hameçonnées. Les entreprises qui débitent le mantra fatigué qu’elles prennent la sécurité au sérieux ne devraient pas être prises au sérieux à moins que la 2FA résistante au phishing ne soit un élément essentiel de leur hygiène numérique.
Ce message a été réécrit tout au long pour corriger la relation entre les nouvelles violations et le compromis précédemment divulgué de Twilio.