El gigante de las comunicaciones Twilio ha confirmado que los piratas informáticos accedieron a los datos de los clientes después de engañar con éxito a los empleados para que entregaran sus credenciales de inicio de sesión corporativas.
La empresa con sede en San Francisco, que permite a los usuarios incorporar capacidades de voz y SMS, como la autenticación de dos factores (2FA), en las aplicaciones, dijo en una publicación de blog publicada el lunes que se dio cuenta de que alguien obtuvo «acceso no autorizado» a la información. relacionado con algunas cuentas de clientes de Twilio el 4 de agosto.
Twilio tiene más de 150 000 clientes corporativos, incluidos Facebook y Uber.
Según la empresa, el actor de amenazas aún no identificado convenció a varios empleados de Twilio para que entregaran sus credenciales, lo que permitió el acceso a los sistemas internos de la empresa.
El ataque utilizó mensajes SMS de phishing que pretendían provenir del departamento de TI de Twilio, lo que sugería que la contraseña de los empleados había caducado o que su horario había cambiado, y aconsejaba al objetivo que iniciara sesión con una dirección web falsificada que controla el atacante.
Twilio dijo que los atacantes enviaron estos mensajes para parecer legítimos, incluidas palabras como «Okta» y «SSO», en referencia al inicio de sesión único, que muchas empresas utilizan para asegurar el acceso a sus aplicaciones internas. (Okta se vio afectada por una infracción a principios de este año, en la que los piratas informáticos obtuvieron acceso a sus sistemas internos). Twilio dijo que trabajó con operadores estadounidenses para detener los mensajes maliciosos, así como con registradores y proveedores de alojamiento para cerrar las URL maliciosas utilizadas. en la campaña
Pero la compañía dijo que los actores de la amenaza no parecían inmutarse. “A pesar de esta respuesta, los actores de amenazas han seguido rotando entre operadores y proveedores de alojamiento para reanudar sus ataques”, dijo la publicación del blog de Twilio. “Con base en estos factores, tenemos razones para creer que los actores de amenazas están bien organizados, son sofisticados y metódicos en sus acciones”.
Desde entonces, TechCrunch se enteró de que el mismo actor también creó páginas de phishing haciéndose pasar por otras empresas, incluida una empresa de Internet de EE. UU., una empresa de subcontratación de TI y un proveedor de servicio al cliente, aunque actualmente se desconoce el impacto en estas organizaciones, si es que lo hay.
Cuando se contactó, la portavoz de Twilio, Laurelle Remzi, se negó a decir cuántos clientes se vieron afectados o a qué datos accedieron los actores de amenazas. La política de privacidad de Twilio dice que la información que recopila incluye direcciones, detalles de pago, direcciones IP y, en algunos casos, prueba de identidad.
Twilio dijo que desde el ataque, revocó el acceso a las cuentas de los empleados comprometidos y aumentó su capacitación en seguridad para garantizar que los empleados estén en «alerta máxima» para los ataques de ingeniería social. La compañía dijo que ha comenzado a contactar clientes afectados de forma individual.