La violación de datos que golpeó a Twilio en agosto de 2022 y resultó en el robo (se abre en una pestaña nueva) de datos de información del cliente, no fue la primera vez que el mismo actor de amenazas atacó a la empresa, confirmó.
Después de semanas de investigación, Twilio dice que ahora ha concluido su investigación sobre el incidente y, en una publicación de blog de seguimiento, reveló que el mismo actor malicioso también logró comprometer sus sistemas a fines de junio de 2022.
Sin embargo, a diferencia del incidente de agosto que se activó con un ataque de smishing, el de junio se realizó a través de vishing: phishing de voz.
Datos de clientes robados
“En el incidente de junio, un empleado de Twilio fue manipulado socialmente a través de phishing de voz (o “vishing”) para proporcionar sus credenciales, y el actor malicioso pudo acceder a la información de contacto del cliente para un número limitado de clientes”, explicó la compañía. Además, afirmó que eliminó al pirata informático en 12 horas y, para el 2 de julio, notificó a todos los afectados por el incidente.
En el ataque de agosto, dijo Twilio, los atacantes utilizaron las credenciales de inicio de sesión obtenidas a través del ataque smishing para violar los sistemas internos que no son de producción y los puntos finales. (se abre en una pestaña nueva). Allí encontraron los datos de 209 clientes, así como 93 usuarios finales de Authy.
«209 clientes, de una base total de clientes de más de 270,000, y 93 usuarios finales de Authy, de aproximadamente 75 millones de usuarios totales, tenían cuentas que se vieron afectadas por el incidente», dijo Twilio. La investigación también ha demostrado que es muy probable que no se haya accedido a las credenciales de la cuenta de la consola de los clientes, las claves API o los tokens de autenticación.
La compañía reveló el incidente el 7 de agosto, pero luego se enteró de que los piratas informáticos se demoraron dos días más. “La última actividad no autorizada observada en nuestro entorno fue el 9 de agosto de 2022”, agregó la compañía.
Según el informe, el ataque de Twilio no fue un incidente aislado, sino parte de una campaña de ciberdelincuencia más grande realizada por un grupo conocido como Scatter Swine (también conocido como 0ktapus). Al menos 130 organizaciones se vieron afectadas, incluidas MailChimp y Cloudflare.
Vía: BleepingComputer (se abre en una pestaña nueva)