Güncelleme 4/16/24: Cisco'nun aşağıdaki ifadesini ekledi.
Cisco Duo'nun güvenlik ekibi, bilgisayar korsanlarının bazı müşterilerin VoIP ve SMS günlüklerini telefon sağlayıcısındaki bir siber saldırıdaki çok faktörlü kimlik doğrulama (MFA) mesajları için çaldığı konusunda uyarıyor.
Cisco Duo, şirketler tarafından dahili ağlara ve kurumsal uygulamalara güvenli erişim sağlamak için kullanılan çok faktörlü bir kimlik doğrulama ve tek oturum açma hizmetidir.
Duo'nun ana sayfası, Google Play'de 10.000.000'den fazla indirme ile 100.000 müşteriye hizmet verdiğini ve aylık bir milyardan fazla kimlik doğrulamasını gerçekleştirdiğini bildirdi.
Müşterilere gönderilen e-postalarda Cisco Duo, şirketin SMS ve VoIP Çok Faktör Kimlik Doğrulaması (MFA) mesajlarını işleyen isimsiz bir sağlayıcı 1 Nisan 2024'te tehlikeye atıldığını söyledi.
Bildirim, bir tehdit aktörünün bir kimlik avı saldırısı yoluyla çalışan kimlik bilgileri aldığını ve daha sonra bu kimlik bilgilerini telefon sağlayıcının sistemlerine erişmek için kullandığını açıklıyor.
Intruder daha sonra 1 Mart 2024 ve 31 Mart 2024 arasında belirli Duo hesaplarıyla ilişkili SMS ve VoIP MFA mesaj günlüklerini indirdi.
Etkilenen müşterilere gönderilen bildirimi, "Duo'nun müşterilerine SMS ve VoIP aracılığıyla çok faktörlü kimlik doğrulama (MFA) mesajları göndermek için kullandığı ikili telefon tedarikçilerimizden birini (" sağlayıcı ") içeren bir olay hakkında sizi bilgilendirmek için yazıyoruz." .
"Cisco olayı araştırmak ve ele almak için sağlayıcı ile aktif olarak çalışıyor. Soruşturma devam ederken, olayın bugüne kadar öğrendiklerimize dayanarak bir özeti."
Sağlayıcı, tehdit oyuncusunun mesajların içeriğine erişmediğini veya müşterilere mesaj göndermek için erişimlerini kullanmadığını doğruladı.
Bununla birlikte, çalınan mesaj günlükleri, kurumsal kimlik bilgileri gibi hassas bilgilere erişmek için hedeflenen kimlik avı saldırılarında kullanılabilecek veriler içerir.
Bu günlüklerde yer alan veriler bir çalışanın şunları içerir:
Etkilenen tedarikçi ihlali keşfettiğinde, tehlikeye atılan kimlik bilgilerini geçersiz kıldılar, etkinlik günlüklerini analiz ettiler ve Cisco'yu buna göre bildirdiler. Gelecekte benzer olayları önlemek için ek güvenlik önlemleri de uygulanmıştır.
Satıcı, Cisco Duo'ya, ihlalin kapsamını, etkisini ve alması gereken uygun savunma stratejisini daha iyi anlamaya yardımcı olmak için msp@duo.com adresine e -posta göndererek talep edilebilen tüm mesaj günlüklerini sağladı.
Cisco ayrıca, bu ihlalden etkilenen müşterilerin, çalınan bilgileri kullanarak potansiyel SMS kimlik avı veya sosyal mühendislik saldırılarına karşı uyanık olmaları konusunda uyarıyor.
"Tehdit oyuncusu, sağlayıcıya başarılı bir sosyal mühendislik saldırısı yoluyla mesaj günlüklerine erişim sağladığı için, lütfen bu olayın ve bu etkinliğin gereksiz gecikmeden mesaj günlüklerinde bulunan etkilenen kullanıcılarla müşterilerinizle iletişime geçin. Cisco'nun veri gizliliği ve olay müdahale ekibinin bildirimini bitiriyor. "
"Lütfen kullanıcılarınızı sosyal mühendislik saldırılarının ortaya koyduğu riskler konusunda eğitmeyi ve şüpheli etkinlikleri araştırmayı da düşünün."
FBI, geçen yıl tehdit aktörlerinin, kurumsal ağları ihlal etmek için sosyal mühendislik saldırılarında SMS kimlik avı ve sesli çağrıları kullandıkları konusunda uyardı.
2022'de Uber, bir tehdit oyuncusu bir çalışana bir MFA yorgunluk saldırısı gerçekleştirdikten ve daha sonra yardım masası personeli gibi davranarak telefon numaraları aracılığıyla WhatsApp ile temasa geçtikten sonra ihlal edildi. Bu nihayetinde, bilgisayar korsanlarının hesaba giriş yapmasına ve Uber'in sistemlerine erişmesine izin veren hedefe yol açtı.
Cisco, tedarikçinin adını ve bu olaydan etkilenen müşteri sayısını açıklamamıştır. BleepingComputer başka sorularla Cisco ile temasa geçti, ancak bir cevap hemen mevcut değildi.
GÜNCELLEME 4/16/24: Cisco, BleepingComputer'a olayın Duo müşterilerinin yaklaşık% 1'ini etkilediğini söyledi. Şirketin 100.000 kullanıcısı olduğunu iddia ettiği gibi, bu olay yaklaşık 1.000 kişiyi etkiledi.
Cisco, "Cisco, Duo çok faktörlü kimlik doğrulama (MFA) mesajlarını Kuzey Amerika merkezli alıcılara SMS ve VoIP yoluyla gönderen tek bir telefon tedarikçisini içeren bir olayın farkındadır."
"Cisco, olayı araştırmak ve ele almak için tedarikçi ile aktif olarak çalışıyor. Tedarikçiden bugüne kadar alınan bilgilere dayanarak, Duo müşterilerinin yaklaşık% 1'inin etkilendiğini değerlendirdik. Soruşturmamız devam ediyor ve etkilenen müşterileri bizim aracılığıyla bilgilendiriyoruz. Uygun kanallar kuruldu. "
Surtelama Veri ihlali 4.4 milyon kullanıcının bilgilerini ortaya çıkarır
AT&T, 73 milyon müşteriyi etkileyen veri ihlali konusunda davalarla karşı karşıya
Fujitsu BT sistemlerinde kötü amaçlı yazılım buldu, veri ihlalini onaylıyor
Nissan, fidye yazılımı saldırısının 100.000 kişinin açık verilerini onayladı
T-Mobile, Verizon işçileri SIM Swaps için 300 $ sunan metinler alıyor
Kaynak: Bleeping Computer