Bulut iletişim şirketi Twilio, müşterilerinin bazı verilerine, bir SMS kimlik avı saldırısında çalışan kimlik bilgilerini çaldıktan sonra iç sistemleri ihlal eden saldırganlar tarafından erişildiğini söylüyor.
Twilio hafta sonu yaptığı açıklamada, “4 Ağustos 2022’de Twilio, sınırlı sayıda Twilio müşteri hesabıyla ilgili bilgilere yetkisiz erişimin, çalışan kimlik bilgilerini çalmak için tasarlanmış karmaşık bir sosyal mühendislik saldırısı yoluyla farkına vardı.” Dedi.
“Saldırganlar daha sonra, belirli müşteri verilerine erişebildikleri bazı dahili sistemlerimize erişmek için çalınan kimlik bilgilerini kullandılar.”
Şirket ayrıca, saldırganların, kimlik avı olayında hedeflenen birden fazla çalışanın kimlik bilgilerini kandırıp çaldıktan sonra sistemlerine erişim kazandığını da ortaya çıkardı.
Bunu yapmak için Twilio’nun BT departmanının kimliğine büründüler ve onları bir Twilio oturum açma sayfası klonuna yönlendirecek “Twilio”, “Okta” ve “SSO” anahtar kelimelerini içeren URL’leri tıklamalarını istediler.
SMS kimlik avı mesajları, Twilio çalışanlarını, şifrelerinin süresinin dolduğunu veya değiştirilmeyi planladığını uyararak gömülü bağlantılara tıklamaları için kandırdı.
Twilio’nun EMEA İletişim Direktörü Katherine James, kimlik avı saldırısında kaç çalışanın hesabının ele geçirildiği ve ihlalden kaç müşterinin etkilendiği sorulduğunda daha fazla bilgi vermeyi reddetti ve şirketin “şu anda bilinenin ötesinde ek bir yorumu olmadığını” söyledi. blogda yayınlandı.”
Twilio, “Metin mesajları ABD operatör ağlarından geliyordu. Oyuncuları kapatmak için ABD operatörleriyle ve bu hesapları kapatmak için kötü niyetli URL’lere hizmet veren barındırma sağlayıcılarıyla birlikte çalıştık” dedi.
“Diğer şirketlerden onların da benzer saldırılara maruz kaldıklarını duyduk ve tehdit aktörlerine yanıtımızı koordine ettik – kötü niyetli mesajları durdurmak için taşıyıcılarla ve ayrıca kayıt şirketleri ve barındırma sağlayıcılarıyla kapatmak için işbirliği yapmak da dahil. Kötü niyetli URL’ler. Bu yanıta rağmen, tehdit aktörleri, saldırılarını sürdürmek için taşıyıcılar ve barındırma sağlayıcıları arasında dönmeye devam etti.”
Kimlik bilgileri iptal edildi, saldırganlar henüz tanımlanmadı
Şirket saldırganları henüz tanımlamadı, ancak devam eden bir soruşturmanın parçası olarak kolluk kuvvetleriyle birlikte çalışıyor.
Twilio, saldırganların sistemlerine erişimini engellemek için saldırı sırasında ele geçirilen çalışan hesaplarını iptal etti ve bu olaydan etkilenen müşterileri bilgilendirmeye başladı.
Twilio, “Tehdit aktörleri sınırlı sayıda hesabın verilerine erişebildiğinden, etkilenen müşterileri ayrıntılarla bireysel olarak bilgilendiriyoruz.” meydana çıkarmak.
Şirket ayrıca Mayıs 2021’de geçen yılki krizden etkilendiğini açıkladı. Codecov tedarik zinciri saldırısı tehdit aktörlerinin Codecov müşterilerinden kimlik bilgilerini, gizli anahtarları ve kullanıcı belirteçlerini çalmak için meşru Codecov Bash Yükleyici aracını değiştirdiği yer.
17 ülkedeki 26 ofiste 5.000’den fazla çalışanı olan Twillio, 10 milyondan fazla geliştirici ve 150.000 işletme tarafından müşteri katılım platformları oluşturmak için kullanılan programlanabilir ses, metin, sohbet, video ve e-posta API’leri sağlar.
Ayrıca Twilio Authy’yi satın aldı Şubat 2015’te, son kullanıcılar, geliştiriciler ve kuruluşlar için popüler bir iki faktörlü kimlik doğrulama (2FA) sağlayıcısı milyonlarca kullanıcı Dünya çapında.