El gigante estadounidense de mensajería Twilio confirmó que se vio afectado por una segunda violación en junio en la que los ciberdelincuentes accedieron a la información de contacto del cliente.
La confirmación de la segunda infracción, llevada a cabo por los mismos piratas informáticos «0ktapus» que comprometieron a Twilio nuevamente en agosto, quedó oculta en una actualización de un extenso informe de incidentes que Twilio concluyó el jueves.
Twilio dijo que el «breve incidente de seguridad», que ocurrió el 29 de junio, vio a los mismos atacantes diseñar socialmente a un empleado a través de phishing de voz, una táctica mediante la cual los piratas informáticos realizan llamadas telefónicas fraudulentas haciéndose pasar por el departamento de TI de la empresa en un esfuerzo por engañar a los empleados para que entreguen información confidencial. información. En este caso, el empleado de Twilio proporcionó sus credenciales corporativas, lo que permitió al atacante acceder a la información de contacto del cliente para un «número limitado» de clientes.
“El acceso del actor de amenazas se identificó y erradicó en 12 horas”, dijo Twilio en su actualización, y agregó que los clientes cuya información se vio afectada por el incidente de junio fueron notificados el 2 de julio.
Cuando TechCrunch le preguntó, la portavoz de Twilio, Laurelle Remzi, se negó a confirmar el número exacto de clientes afectados por la infracción de junio y se negó a compartir una copia del aviso que la empresa afirma haber enviado a los afectados. Remzi también se negó a decir por qué Twilio acaba de revelar el incidente.
Twilio también confirmó en su actualización que los piratas informáticos detrás de la brecha de agosto accedieron a los datos de 209 clientes, un aumento de los 163 clientes que compartió el 24 de agosto. Twilio no ha nombrado a ninguno de sus clientes afectados, pero algunos, como la aplicación de mensajería encriptada Signal, han notificado a los usuarios que se vieron afectados por la infracción de Twilio. Los atacantes también comprometieron las cuentas de 93 usuarios de Authy, la aplicación de autenticación de dos factores de Twilio que adquirió en 2015.
«No hay evidencia de que los actores malintencionados hayan accedido a las credenciales de la cuenta de la consola de los clientes de Twilio, tokens de autenticación o claves API», dijo Twilio sobre los atacantes, que mantuvieron el acceso al entorno interno de Twilio durante dos días entre el 7 y el 9 de agosto. confirmado.
La violación de Twilio es parte de una campaña más amplia de un actor de amenazas rastreado como “0ktapus”, que se dirigió a al menos 130 organizaciones, incluidas Mailchimp y Cloudflare. Pero Cloudflare dijo que los atacantes no lograron comprometer su red después de que sus intentos fueran bloqueados por claves de seguridad de hardware resistentes al phishing.
Como parte de sus esfuerzos para mitigar la eficacia de ataques similares en el futuro, Twilio ha anunciado que también implementará claves de seguridad de hardware para todos los empleados. Twilio se negó a comentar sobre su cronograma de implementación. La compañía dice que también planea implementar capas adicionales de control dentro de su VPN, eliminar y limitar ciertas funciones dentro de herramientas administrativas específicas y aumentar la frecuencia de actualización de tokens para aplicaciones integradas con Okta.