imágenes falsas
En las últimas semanas, el proveedor de seguridad Twilio reveló que fue violado por phishers con muchos recursos, que utilizaron su acceso para robar datos de 163 de sus clientes. Mientras tanto, la firma de seguridad Group-IB dijo que los mismos phishers que atacaron a Twilio violaron al menos 136 empresas en ataques avanzados similares.
Tres empresas: Authy, propiedad de Twilio, el administrador de contraseñas LastPass y la red de entrega de alimentos DoorDash, en los últimos días han revelado filtraciones de datos que parecen estar relacionadas con la misma actividad. El servicio de autenticación Okta y el proveedor de mensajería segura Signal, ambos dijeron recientemente que se accedió a sus datos como resultado de la violación de Twilio.
Group-IB dijo el jueves que al menos 136 empresas fueron suplantadas por el mismo actor de amenazas que Twilio. DoorDash es uno de ellos, dijo un representante de la compañía a TechCrunch.
Extraordinariamente ingenioso
Los compromisos de Authy y LastPass son los más preocupantes de las nuevas revelaciones. Authy dice que almacena tokens de autenticación de dos factores para 75 millones de usuarios. Dadas las contraseñas que el actor de amenazas ya obtuvo en infracciones anteriores, estos tokens pueden haber sido lo único que impidió la toma de control de más cuentas. Authy dijo que el actor de amenazas usó su acceso para iniciar sesión en solo 93 cuentas individuales e inscribir nuevos dispositivos que podrían recibir contraseñas de un solo uso. Dependiendo de a quién pertenezcan esas cuentas, eso podría ser muy malo. Authy dijo que desde entonces ha eliminado dispositivos no autorizados de esas cuentas.
LastPass dijo que un actor de amenazas obtuvo acceso no autorizado a través de una única cuenta de desarrollador comprometida a partes del entorno de desarrollo del administrador de contraseñas. A partir de ahí, el actor de amenazas «tomó partes del código fuente y alguna información técnica patentada de LastPass». LastPass dijo que las contraseñas maestras, las contraseñas encriptadas y otros datos almacenados en las cuentas de los clientes y la información personal de los clientes no se vieron afectados. Si bien los datos de LastPass que se sabe que se obtienen no son especialmente sensibles, cualquier violación que involucre a un importante proveedor de administración de contraseñas es grave, dada la gran cantidad de datos que almacena.
DoorDash también dijo que un número no revelado de clientes tenían sus nombres, direcciones de correo electrónico, direcciones de entrega, números de teléfono y números de tarjetas de pago parciales robados por el mismo actor de amenazas, al que algunos llaman Scatter Swine. El actor de amenazas obtuvo nombres, números de teléfono y direcciones de correo electrónico de un número no revelado de contratistas de DoorDash.
Como ya se informó, el ataque inicial de phishing en Twilio estuvo bien planeado y ejecutado con precisión quirúrgica. Los actores de amenazas tenían números de teléfono privados de empleados, más de 169 dominios falsificados que imitaban a Okta y otros proveedores de seguridad, y la capacidad de eludir las protecciones 2FA que usaban contraseñas de un solo uso.
La capacidad del actor de amenazas para aprovechar los datos obtenidos en una infracción para realizar ataques en la cadena de suministro contra los clientes de las víctimas, y su capacidad para permanecer sin ser detectado desde marzo, demuestra su ingenio y habilidad. No es raro que las empresas que anuncian infracciones actualicen sus divulgaciones en los días o semanas siguientes para incluir información adicional que se vio comprometida. No será sorprendente si una o más víctimas aquí hacen lo mismo.
Si hay una lección en todo este lío, es que no todos los 2FA son iguales. Las contraseñas de un solo uso enviadas por SMS o generadas por aplicaciones de autenticación son tan phishing como las contraseñas, y eso es lo que permitió a los actores de amenazas eludir esta última forma de defensa contra la apropiación de cuentas.
Una empresa que fue atacada pero no fue víctima fue Cloudflare. La razón: los empleados de Cloudflare confiaron en 2FA que usaba claves físicas como Yubikeys, que junto con otras formas de 2FA compatibles con FIDO2, no pueden ser objeto de phishing. Las empresas que escupen el cansino mantra de que se toman en serio la seguridad no deberían ser tomadas en serio a menos que la 2FA resistente al phishing sea un elemento básico de su higiene digital.
Esta publicación se ha reescrito en su totalidad para corregir la relación de las nuevas infracciones con el compromiso de Twilio previamente revelado.