Le géant américain de la messagerie Twilio a confirmé avoir été touché par une deuxième brèche en juin qui a vu des cybercriminels accéder aux coordonnées des clients.
La confirmation de la deuxième violation – effectuée par les mêmes pirates « 0ktapus » qui ont à nouveau compromis Twilio en août – a été enterrée dans une mise à jour d’un long rapport d’incident que Twilio a conclu jeudi.
Twilio a déclaré que le « bref incident de sécurité », survenu le 29 juin, a vu les mêmes attaquants créer socialement un employé par hameçonnage vocal, une tactique par laquelle les pirates passent des appels téléphoniques frauduleux en se faisant passer pour le service informatique de l’entreprise dans le but d’inciter les employés à remettre des informations sensibles. informations. Dans ce cas, l’employé de Twilio a fourni ses informations d’identification d’entreprise, permettant à l’attaquant d’accéder aux informations de contact client pour un « nombre limité » de clients.
« L’accès de l’acteur menaçant a été identifié et éradiqué dans les 12 heures », a déclaré Twilio dans sa mise à jour, ajoutant que les clients dont les informations ont été affectées par l’incident de juin ont été informés le 2 juillet.
Interrogée par TechCrunch, la porte-parole de Twilio, Laurelle Remzi, a refusé de confirmer le nombre exact de clients touchés par la violation de juin et a refusé de partager une copie de l’avis que la société prétend avoir envoyé aux personnes concernées. Remzi a également refusé de dire pourquoi Twilio vient tout juste de divulguer l’incident.
Twilio a également confirmé dans sa mise à jour que les pirates à l’origine de la violation d’août avaient accédé aux données de 209 clients, une augmentation par rapport aux 163 clients partagés le 24 août. Twilio n’a nommé aucun de ses clients concernés, mais certains – comme l’application de messagerie cryptée Signal – ont informé les utilisateurs qu’ils étaient affectés par la violation de Twilio. Les attaquants ont également compromis les comptes de 93 utilisateurs d’Authy, l’application d’authentification à deux facteurs de Twilio acquise en 2015.
« Il n’y a aucune preuve que les acteurs malveillants ont accédé aux informations d’identification, aux jetons d’authentification ou aux clés API des comptes de console des clients Twilio », a déclaré Twilio à propos des attaquants, qui ont maintenu l’accès à l’environnement interne de Twilio pendant deux jours entre le 7 et le 9 août. confirmé.
La violation de Twilio fait partie d’une campagne plus large d’un acteur menaçant suivi sous le nom de « 0ktapus », qui ciblait au moins 130 organisations, dont Mailchimp et Cloudflare. Mais Cloudflare a déclaré que les attaquants n’avaient pas réussi à compromettre son réseau après avoir vu leurs tentatives bloquées par des clés de sécurité matérielles résistantes au phishing.
Dans le cadre de ses efforts pour atténuer l’efficacité d’attaques similaires à l’avenir, Twilio a annoncé qu’il déploierait également des clés de sécurité matérielles pour tous les employés. Twilio a refusé de commenter son calendrier de déploiement. La société indique qu’elle prévoit également de mettre en œuvre des couches de contrôle supplémentaires dans son VPN, de supprimer et de limiter certaines fonctionnalités dans des outils administratifs spécifiques et d’augmenter la fréquence d’actualisation des jetons pour les applications intégrées à Okta.