Twilio revela otro ataque cibernético de los mismos hackers detrás del ataque de agosto
Twilio revela otro ataque cibernético por parte de los mismos hackers detrás del ataque de agosto
El proveedor de servicios de comunicación Twilio, reveló esta semana que experimentó otro «breve incidente de seguridad» en junio de 2022, que fue llevado a cabo por el mismo atacante detrás del ataque cibernético de agosto, que resultó en el acceso no autorizado a la información de los clientes.
El ataque cibernético ocurrió el 29 de junio de 2022, dijo la compañía en un aviso actualizado compartido esta semana, como parte de su investigación sobre el caso.
Además, dijo que el acceso obtenido después del ataque exitoso se identificó y frustró dentro de las 12 horas, y que había alertado a los clientes afectados el 2 de julio de 2022.
La compañía con sede en San Francisco no reveló la cantidad exacta de clientes afectados por el incidente de junio y por qué la divulgación se hizo cuatro meses después de que ocurriera.
Los detalles de la segunda violación de seguridad se conocen cuando Twilio notó que los atacantes accedieron a los datos de 209 clientes, frente a los 163 que informó el 24 de agosto, y 93 usuarios de Authy.
Twilio, que ofrece software personalizado de interacción con el cliente, tiene más de 270000 clientes, mientras que su servicio de autenticación de dos factores Authy, tiene aproximadamente 75 millones de usuarios en total.
Para mitigar dichos ataques en el futuro, Twilio dijo que está distribuyendo claves de seguridad de hardware compatibles con FIDO2 a todos los empleados, implementando capas adicionales de control dentro de su VPN y realizando capacitación de seguridad obligatoria para que los empleados mejoren la conciencia sobre los ataques de ingeniería social.
El ataque contra Twilio se atribuyó a un grupo de hackers rastreado por Group-IB y Okta bajo los nombre sde Oktapus y Scatter Swine, y es parte de una campaña más grande contra empresas de software, telecomunicaciones, financieras y educativas.
Las cadenas de infección implicaron la identificación de los números de teléfono móvil de los empleados, seguido del envío de mensajes de texto no autorizados o llamadas a esos números para engañarlos para que hicieran clic en páginas de inicio de sesión falsas y la recolección de las credenciales ingresadas para las operaciones de reconocimiento de seguimiento dentro de las redes.
Se estima que hasta 136 organizaciones fueron atacadas, algunas de las cuales incluyen Klaviyo, MailChamp, DigitalOcean, Signal, Okta y un ataque fallido dirigido a Cloudflare.