Cloud Communications Company Twilio, Haziran 2022 güvenlik olayından kaynaklanan yeni bir veri ihlali açıkladı.
Twilio, bunun 29 Haziran'da "kısa bir güvenlik olayı" olduğunu söyledi. Saldırgan, bir çalışanı sesli kimlik avı saldırısında kimlik bilgilerini teslim etmek için kandırmak için sosyal mühendisliği kullandı.
Çalıntı kimlik bilgileri daha sonra "sınırlı sayıda müşteri için müşteri iletişim bilgilerine erişmek için" kullanıldı.
Şirket Perşembe günü yaptığı açıklamada, "Tehdit oyuncunun erişimi 12 saat içinde tanımlandı ve ortadan kaldırıldı. Haziran olayından etkilenen müşteriler 2 Temmuz 2022'de bildirildi."
Twilio ayrıca, Ağustos ayının arkasındaki bilgisayar korsanlarının, bir SMS kimlik avı saldırısında çalınan çalışan kimlik bilgilerini kullanarak bazı dahili yapım dışı sistemleri ihlal ettikten sonra 209 müşteri ve 93 Authy son kullanıcısının verilerine eriştiğini paylaştı.
Twilio, "209 müşteri - toplam 270.000'den fazla müşteri tabanından - ve 93 Authy son kullanıcısı - yaklaşık 75 milyon toplam kullanıcıdan - olaydan etkilenen hesaplara sahipti." Dedi.
Olay soruşturmasını sonuçlandırdıktan sonra Twilio, müşterilerinin konsol hesap kimlik bilgilerinden, API anahtarlarından veya kimlik doğrulama jetonlarına da erişildiğine dair hiçbir kanıt bulamadı.
Şirket olayı 7 Ağustos'ta açıklarken, şimdi saldırganların iki gün daha bu ortama erişimi sürdürdüğünü ortaya koydu.
Şirket, "Çevremizde son gözlemlenen yetkisiz faaliyet 9 Ağustos 2022'de oldu."
Twilio'nun Ağustos olayından sonra söylediği gibi, saldırganlar bir SMS kimlik avı saldırısında çalınan çalışan kimlik bilgilerini kullanarak ağına erişti.
Twilio'nun sistemlerine girdikten sonra, bilgisayar korsanları yönetim portallarını kullanarak müşteri verilerine erişti, Authy 2FA hesaplarına ve kodlarına erişti ve geçici jetonlar elde etmek için kendi cihazlarını kaydetti.
Twilio veri ihlali, Scatter Swine veya 0kTapus olarak izlenen bir tehdit oyuncusunun MailChimp, Klaviyo ve Cloudflare dahil en az 130 kuruluşu hedefleyen daha kapsamlı bir kampanyanın bir parçasıdır.
Ayrıca, çalışanlarının benzer bir SMS kimlik avı saldırısında kimlik bilgilerinin çalındığını açıklayan Cloudflare, saldırganların şirket tarafından verilen FIDO2 uyumlu donanım güvenlik anahtarları tarafından giriş girişimlerini engelledikten sonra sistemlerini ihlal edemediğini söyledi.
Haziran ve Ağustos ihlallerinin bir sonucu olarak Twilio, tehlikeye atılan çalışan kullanıcı hesaplarının kimlik bilgilerini sıfırladığını ve FIDO2 jetonlarını tüm çalışanlara dağıttığını söylüyor.
Twilio ihlali, bilgisayar korsanlarının Authy 2FA hesaplarına erişmesine izin ver
Hollandalı Polis Sağlık Yazılımı Satıcısını İhlal Hacker Tutuklama
Verizon ön ödemeli müşterileri bildirir.
Tucson Şehri, 123.000'den fazla kişiyi etkileyen veri ihlalini açıklar
Fast Company, yönetici yönetim kurulu üyesi bilgilerinin saldırıda çalınmadığını söylüyor
Kaynak: Bleeping Computer