Twilio piraté par une campagne de phishing ciblant les sociétés Internet

Le géant des communications Twilio a confirmé que les pirates avaient accédé aux données des clients après avoir réussi à inciter les employés à leur remettre leurs identifiants de connexion d’entreprise.

La société basée à San Francisco, qui permet aux utilisateurs de créer des capacités vocales et SMS – telles que l’authentification à deux facteurs (2FA) – dans les applications, a déclaré dans un article de blog publié lundi qu’elle avait pris conscience que quelqu’un avait obtenu un « accès non autorisé » aux informations. lié à certains comptes clients Twilio le 4 août.

Twilio compte plus de 150 000 entreprises clientes, dont Facebook et Uber.

Selon l’entreprise, l’acteur menaçant encore non identifié a convaincu plusieurs employés de Twilio de remettre leurs informations d’identification, ce qui a permis d’accéder aux systèmes internes de l’entreprise.

L’attaque a utilisé des SMS de phishing censés provenir du service informatique de Twilio, suggérant que le mot de passe des employés avait expiré ou que leur emploi du temps avait changé, et conseillait à la cible de se connecter à l’aide d’une adresse Web usurpée que l’attaquant contrôle.

Twilio a déclaré que les attaquants ont envoyé ces messages pour avoir l’air légitimes, y compris des mots tels que « Okta » et « SSO », faisant référence à l’authentification unique, que de nombreuses entreprises utilisent pour sécuriser l’accès à leurs applications internes. (Okta a lui-même été touché par une brèche plus tôt cette année, qui a vu des pirates accéder à ses systèmes internes.) Twilio a déclaré avoir travaillé avec des opérateurs américains pour arrêter les messages malveillants, ainsi qu’avec des registraires et des hébergeurs pour fermer les URL malveillantes utilisées. dans la campagne.

Mais la société a déclaré que les acteurs de la menace ne semblaient pas découragés. « Malgré cette réponse, les acteurs de la menace ont continué à passer par les opérateurs et les hébergeurs pour reprendre leurs attaques », a déclaré le blog de Twilio. « Sur la base de ces facteurs, nous avons des raisons de croire que les acteurs de la menace sont bien organisés, sophistiqués et méthodiques dans leurs actions. »

TechCrunch a depuis appris que le même acteur a également créé des pages de phishing se faisant passer pour d’autres sociétés, notamment une société Internet américaine, une société d’externalisation informatique et un fournisseur de services client, bien que l’impact sur ces organisations – le cas échéant – ne soit pas actuellement connu.

Lorsqu’elle a été contactée, la porte-parole de Twilio, Laurelle Remzi, a refusé de dire combien de clients ont été touchés ou quelles données ont été consultées par les acteurs de la menace. La politique de confidentialité de Twilio indique que les informations collectées comprennent les adresses, les détails de paiement, les adresses IP et, dans certains cas, une preuve d’identité.

Twilio a déclaré que depuis l’attaque, il a révoqué l’accès aux comptes d’employés compromis et a renforcé sa formation à la sécurité pour s’assurer que les employés sont en « alerte élevée » pour les attaques d’ingénierie sociale. La société a déclaré qu’elle avait commencé à contacter clients concernés sur une base individuelle.

Source-146