Fournisseur de services de communication Twilio cette semaine a révélé qu’il avait connu un autre “brève incident de sécurité” en juin 2022 perpétré par le même acteur de la menace derrière le piratage d’août qui a entraîné un accès non autorisé aux informations des clients.
L’événement de sécurité s’est produit le 29 juin 2022, a déclaré la société dans un avis mis à jour partagé cette semaine, dans le cadre de son enquête sur l’effraction numérique.
“Lors de l’incident de juin, un employé de Twilio a été socialement manipulé par hameçonnage vocal (ou “vishing”) pour fournir ses informations d’identification, et l’acteur malveillant a pu accéder aux informations de contact d’un nombre limité de clients”, a déclaré Twilio. a dit.
Il a en outre déclaré que l’accès obtenu à la suite de l’attaque réussie avait été identifié et contrecarré dans les 12 heures, et qu’il avait alerté les clients concernés le 2 juillet 2022.
La société basée à San Francisco n’a pas révélé le nombre exact de clients touchés par l’incident de juin, ni pourquoi la divulgation a été faite quatre mois après qu’elle a eu lieu. Les détails de la deuxième violation surviennent alors que Twilio a noté que les acteurs de la menace avaient accédé aux données de 209 clients, contre 163 signalés le 24 août et 93 utilisateurs d’Authy.
Twilio, qui propose un logiciel d’engagement client personnalisé, compte plus de 270 000 clients, tandis que son service d’authentification à deux facteurs Authy compte environ 75 millions d’utilisateurs au total.
“La dernière activité non autorisée observée dans notre environnement remonte au 9 août 2022”, a-t-il déclaré, ajoutant : “Il n’y a aucune preuve que les acteurs malveillants aient accédé aux informations d’identification du compte de la console, aux jetons d’authentification ou aux clés API des clients Twilio”.
Pour atténuer de telles attaques à l’avenir, Twilio a déclaré qu’il distribuait des clés de sécurité matérielles compatibles FIDO2 à tous les employés, mettait en œuvre des couches de contrôle supplémentaires au sein de son VPN et organisait une formation de sécurité obligatoire pour les employés afin de les sensibiliser aux attaques d’ingénierie sociale.
L’attaque contre Twilio a été attribuée à un groupe de piratage suivi par Group-IB et Okta sous les noms de 0ktapus et Scatter Swine, et fait partie d’une campagne plus large contre les entreprises de logiciels, de télécommunications, financières et éducatives.
Les chaînes d’infection impliquaient d’identifier les numéros de téléphone portable des employés, puis d’envoyer des SMS malveillants ou d’appeler ces numéros pour les inciter à cliquer sur de fausses pages de connexion, et à récolter les informations d’identification saisies pour les opérations de reconnaissance de suivi au sein des réseaux.
On estime que 136 organisations ont été ciblées, dont certaines incluent Klaviyo, MailChimp, DigitalOcean, Signal, Okta et une attaque infructueuse visant Cloudflare.