Proveedor de servicios de comunicación Twilio esta semana reveló que experimentó otro «breve incidente de seguridad» en junio de 2022 perpetrado por el mismo actor de amenazas detrás del ataque de agosto que resultó en el acceso no autorizado a la información del cliente.
El evento de seguridad ocurrió el 29 de junio de 2022, dijo la compañía en un aviso actualizado compartido esta semana, como parte de su investigación sobre la irrupción digital.
«En el incidente de junio, un empleado de Twilio fue manipulado socialmente a través de phishing de voz (o ‘vishing’) para proporcionar sus credenciales, y el actor malicioso pudo acceder a la información de contacto del cliente para un número limitado de clientes», Twilio dijo.
Dijo además que el acceso obtenido después del ataque exitoso se identificó y frustró dentro de las 12 horas, y que había alertado a los clientes afectados el 2 de julio de 2022.
La firma con sede en San Francisco no reveló la cantidad exacta de clientes afectados por el incidente de junio y por qué la divulgación se hizo cuatro meses después de que ocurriera. Los detalles de la segunda violación se conocen cuando Twilio notó que los actores de amenazas accedieron a los datos de 209 clientes, frente a los 163 que informó el 24 de agosto, y 93 usuarios de Authy.
Twilio, que ofrece software personalizado de interacción con el cliente, tiene más de 270 000 clientes, mientras que su servicio de autenticación de dos factores Authy tiene aproximadamente 75 millones de usuarios en total.
«La última actividad no autorizada observada en nuestro entorno fue el 9 de agosto de 2022», dijo, y agregó: «No hay evidencia de que los actores malintencionados hayan accedido a las credenciales de la cuenta de la consola, los tokens de autenticación o las claves API de los clientes de Twilio».
Para mitigar tales ataques en el futuro, Twilio dijo que está distribuyendo claves de seguridad de hardware compatibles con FIDO2 a todos los empleados, implementando capas adicionales de control dentro de su VPN y realizando capacitación de seguridad obligatoria para que los empleados mejoren la conciencia sobre los ataques de ingeniería social.
El ataque contra Twilio se ha atribuido a un grupo de piratería rastreado por Group-IB y Okta bajo los nombres 0ktapus y Scatter Swine, y es parte de una campaña más amplia contra empresas de software, telecomunicaciones, financieras y educativas.
Las cadenas de infección implicaron la identificación de los números de teléfono móvil de los empleados, seguido del envío de mensajes de texto no autorizados o llamadas a esos números para engañarlos para que hicieran clic en páginas de inicio de sesión falsas y la recolección de las credenciales ingresadas para las operaciones de reconocimiento de seguimiento dentro de las redes.
Se estima que hasta 136 organizaciones han sido atacadas, algunas de las cuales incluyen Klaviyo, MailChimp, DigitalOcean, Signal, Okta y un ataque fallido dirigido a Cloudflare.