İletişim hizmetleri sağlayıcısı Twilio bu hafta, Haziran 2022’de, Ağustos saldırısının arkasındaki aynı tehdit aktörü tarafından gerçekleştirilen ve müşteri bilgilerine yetkisiz erişimle sonuçlanan başka bir “kısa güvenlik olayı” yaşadığını açıkladı.
Şirket, dijital hırsızlık soruşturmasının bir parçası olarak bu hafta paylaşılan güncellenmiş bir danışma belgesinde güvenlik olayının 29 Haziran 2022’de gerçekleştiğini söyledi.
“Haziran olayında, bir Twilio çalışanı, kimlik bilgilerini sağlamak için sesli kimlik avı (veya ‘vishing’) yoluyla sosyal olarak tasarlandı ve kötü niyetli aktör, sınırlı sayıda müşterinin müşteri iletişim bilgilerine erişebildi,” Twilio söz konusu.
Ayrıca, başarılı saldırının ardından kazanılan erişimin 12 saat içinde belirlendiğini ve engellendiğini ve etkilenen müşterileri 2 Temmuz 2022’de uyardığını söyledi.
San Francisco merkezli firma, Haziran olayından etkilenen tam müşteri sayısını ve açıklamanın gerçekleştikten dört ay sonra neden yapıldığını açıklamadı. İkinci ihlalin ayrıntıları, Twilio’nun tehdit aktörlerinin 24 Ağustos’ta bildirdiği 163 ve 93 Authy kullanıcısı olan 209 müşterinin verilerine eriştiğini belirtmesiyle geldi.
Kişiselleştirilmiş müşteri etkileşim yazılımı sunan Twilio’nun 270.000’den fazla müşterisi varken, Authy iki faktörlü kimlik doğrulama hizmetinin yaklaşık 75 milyon toplam kullanıcısı var.
“Ortamımızda en son gözlemlenen yetkisiz etkinlik 9 Ağustos 2022’deydi” dedi ve “Kötü niyetli aktörlerin Twilio müşterilerinin konsol hesabı kimlik bilgilerine, kimlik doğrulama belirteçlerine veya API anahtarlarına eriştiğine dair hiçbir kanıt yok” dedi.
Gelecekte bu tür saldırıları azaltmak için Twilio, tüm çalışanlara FIDO2 uyumlu donanım güvenlik anahtarları dağıttığını, VPN’inde ek kontrol katmanları uyguladığını ve sosyal mühendislik saldırıları hakkında farkındalığı artırmak için çalışanlara zorunlu güvenlik eğitimi verdiğini söyledi.
Twilio’ya yönelik saldırı, Group-IB ve Okta tarafından 0ktapus ve Scatter Swine adları altında izlenen bir bilgisayar korsanlığı grubuna atfedildi ve yazılım, telekom, finans ve eğitim şirketlerine yönelik daha geniş bir kampanyanın parçası.
Bulaşma zincirleri, çalışanların cep telefonu numaralarının belirlenmesini, ardından sahte SMS’lerin gönderilmesini veya sahte oturum açma sayfalarına tıklamaları için bu numaraların aranmasını ve ağlar içinde takip eden keşif operasyonları için girilen kimlik bilgilerinin toplanmasını gerektiriyordu.
Klaviyo, MailChimp, DigitalOcean, Signal, Okta ve Cloudflare’a yönelik başarısız bir saldırı da dahil olmak üzere 136 kadar kuruluşun hedef alındığı tahmin ediliyor.