La violation de données qui a frappé Twilio en août 2022 entraînant le vol (s’ouvre dans un nouvel onglet) des données d’informations sur les clients, n’était pas la première fois que le même acteur de la menace ciblait l’entreprise, a-t-il confirmé.
Après des semaines de recherche, Twilio dit qu’il a maintenant terminé son enquête sur l’incident et, dans un article de blog de suivi, a dévoilé que le même acteur malveillant a également réussi à compromettre ses systèmes fin juin 2022.
Cependant, contrairement à l’incident d’août qui a été déclenché par une attaque par smishing, celui de juin a été effectué par vishing – hameçonnage vocal.
Données clients volées
« Lors de l’incident de juin, un employé de Twilio a été socialement manipulé par hameçonnage vocal (ou « vishing ») pour fournir ses informations d’identification, et l’acteur malveillant a pu accéder aux informations de contact d’un nombre limité de clients », a expliqué la société. Il a en outre déclaré qu’il avait éliminé le pirate informatique dans les 12 heures et, le 2 juillet, avait informé toutes les personnes touchées par l’incident.
Lors de l’attaque d’août, a déclaré Twilio, les attaquants ont utilisé les identifiants de connexion obtenus via l’attaque par smishing pour violer les systèmes internes de non-production et les terminaux. (s’ouvre dans un nouvel onglet). Là, ils ont trouvé les données de 209 clients, ainsi que de 93 utilisateurs finaux d’Authy.
« 209 clients – sur une base de clients totale de plus de 270 000 – et 93 utilisateurs finaux d’Authy – sur environ 75 millions d’utilisateurs au total – avaient des comptes qui ont été touchés par l’incident », a déclaré Twilio. L’enquête a également montré que les informations d’identification du compte de la console des clients, les clés API ou les jetons d’authentification n’étaient probablement pas consultés.
La société a révélé l’incident le 7 août, mais a appris plus tard que les pirates s’étaient attardés pendant deux jours supplémentaires. « La dernière activité non autorisée observée dans notre environnement remonte au 9 août 2022 », a ajouté la société.
Selon le rapport, l’attaque de Twilio n’était pas un incident isolé, mais plutôt une partie d’une plus grande campagne de cybercriminalité menée par un groupe connu sous le nom de Scatter Swine (AKA 0ktapus). Au moins 130 organisations ont été touchées, dont MailChimp et Cloudflare.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)