Una empresa de seguridad está denunciando una característica de la aplicación de autenticación de Google que, según afirma, empeoró mucho una reciente violación de la red interna.
Retool, que ayuda a los clientes a proteger sus plataformas de desarrollo de software, hizo la crítica el miércoles en una publicación que revelaba un compromiso de su sistema de atención al cliente. La infracción dio a los atacantes acceso responsable a las cuentas de 27 clientes, todos en la industria de las criptomonedas. El ataque comenzó cuando un empleado de Retool hizo clic en un enlace de un mensaje de texto que supuestamente provenía de un miembro del equipo de TI de la empresa.
“Patrones oscuros”
Advirtió que el empleado no podría participar en la inscripción abierta de la compañía para cobertura de atención médica hasta que se solucionara un problema en la cuenta. El texto llegó mientras Retool estaba en proceso de trasladar su plataforma de inicio de sesión a la empresa de seguridad Okta. (La propia Okta reveló la violación de uno de sus ingenieros de atención al cliente externos el año pasado y el compromiso de cuatro de las cuentas de superusuario de Okta de sus clientes este mes, pero la notificación del miércoles no mencionó ninguno de los eventos).
La mayoría de los empleados de Retool atacados no tomaron ninguna medida, pero uno inició sesión en el sitio vinculado y, según la redacción de la divulgación mal escrita, presumiblemente proporcionó una contraseña y una contraseña temporal de un solo uso, o TOTP, del autenticador de Google.
Poco después, el empleado recibió una llamada telefónica de alguien que decía ser miembro del equipo de TI y estaba familiarizado con el «plano de la oficina, los compañeros de trabajo y los procesos internos de nuestra empresa». Durante la llamada, el empleado proporcionó un “código multifactor adicional”. Fue en este punto, sostenía la divulgación, que una función de sincronización que Google agregó a su autenticador en abril magnificó la gravedad de la infracción porque permitió a los atacantes comprometer no sólo la cuenta del empleado sino también una gran cantidad de otras cuentas de la empresa.
«El token OTP adicional compartido durante la llamada fue fundamental, porque permitió al atacante agregar su propio dispositivo personal a la cuenta Okta del empleado, lo que les permitió producir su propio Okta MFA a partir de ese momento», dijo el jefe de ingeniería de Retool, Snir Kodesh. escribió. “Esto les permitió tener una sesión activa de GSuite en ese dispositivo. Google lanzó recientemente la función de sincronización Google Authenticator que sincroniza códigos MFA con la nube. Como señaló Hacker News, esto es muy inseguro, ya que si su cuenta de Google está comprometida, también lo estarán sus códigos MFA”.
La publicación no es clara en una variedad de cosas. Por ejemplo, por «token OTP», ¿Kodesh se refería a una contraseña de un solo uso devuelta por el autenticador de Google, la larga cadena de números que forma la semilla criptográfica utilizada para generar OTP, o algo completamente diferente? En un correo electrónico en busca de aclaraciones, Kodesh se negó a hacer comentarios, citando una investigación en curso por parte de las autoridades.