غول پیام رسان آمریکایی Twilio تأیید کرده است که در ماه ژوئن مورد نقض دوم قرار گرفته است که طی آن مجرمان سایبری به اطلاعات تماس مشتری دسترسی پیدا کردند.
تایید دومین رخنه — که توسط همان هکرهای “0ktapus” انجام شد که بار دیگر در ماه اوت Twilio را به خطر انداختند — در به روز رسانی یک گزارش حادثه طولانی که Twilio در روز پنجشنبه بسته بود، مدفون شد.
Twilio گفت که “حادثه امنیتی مختصری” که در 29 ژوئن رخ داد باعث شد همان مهاجمان با یک کارمند از طریق فیشینگ صوتی ارتباط اجتماعی برقرار کنند، تاکتیکی که در آن هکرها تماس های تلفنی کلاهبرداری انجام می دهند و خود را به عنوان بخش فناوری اطلاعات شرکت در تلاش برای فریب دادن کارکنان برای ارائه اطلاعات حساس می دانند. . در این مورد، کارمند Twilio اعتبار شرکت خود را ارائه کرد و به مهاجم اجازه داد تا به اطلاعات تماس مشتری برای «تعداد محدودی» مشتری دسترسی داشته باشد.
Twilio در بهروزرسانی خود گفت: «دسترسی تهدید در عرض 12 ساعت شناسایی و حذف شد.
هنگامی که TechCrunch از او پرسید، لورل رمزی، سخنگوی Twilio از تایید تعداد دقیق مشتریانی که تحت تأثیر نقض ماه ژوئن قرار گرفتهاند، خودداری کرد و از اشتراکگذاری نسخهای از اعلامیهای که شرکت گفته بود برای افراد آسیب دیده ارسال کرده است، خودداری کرد. رمزی همچنین از بیان اینکه چرا Twilio این حادثه را فاش کرد، خودداری کرد.
Twilio همچنین در بهروزرسانی خود تأیید کرد که هکرهای پشت سر نفوذ در ماه اوت به دادههای 209 مشتری دسترسی پیدا کردهاند که نسبت به 163 مشتری که در 24 آگوست به اشتراک گذاشته شده بود افزایش یافته است. Twilio نام هیچ یک از مشتریان آسیب دیده خود را اعلام نکرده است، اما برخی از آنها – مانند برنامه پیامرسانی رمزگذاری شده سیگنال – به کاربران اطلاع دادهاند که تحت تأثیر نفوذ Twilio قرار گرفتهاند. مهاجمان همچنین حساب های 93 کاربر Authy، برنامه احراز هویت دو مرحله ای Twilio را که در سال 2015 خریداری کرد، به خطر انداختند.
Twilio در مورد مهاجمان که دسترسی به محیط داخلی Twilio را به مدت دو روز بین 7 اوت تا 9 اوت حفظ کرده اند، گفت: “هیچ مدرکی دال بر دسترسی عوامل مخرب به اطلاعات کاربری کنسول، توکن های احراز هویت یا کلیدهای API مشتریان Twilio وجود ندارد.” شرکت تایید کرد
نقض Twilio بخشی از یک کمپین گسترده تر توسط تهدیدی است که با عنوان “0ktapus” ردیابی می شود که حداقل 130 سازمان از جمله Mailchimp و Cloudflare را هدف قرار داده است. اما Cloudflare گفت که مهاجمان پس از اینکه تلاشهای آنها توسط کلیدهای امنیتی سختافزاری مقاوم در برابر فیشینگ مسدود شد، نتوانستند شبکه آن را به خطر بیاندازند.
به عنوان بخشی از تلاشهای خود برای کاهش اثربخشی چنین حملاتی در آینده، Twilio اعلام کرد که کلیدهای امنیتی سختافزاری را نیز برای همه کارمندان منتشر خواهد کرد. Twilio از اظهار نظر در مورد برنامه زمانبندی پرتاب خودداری کرد. این شرکت میگوید همچنین قصد دارد لایههای کنترلی اضافی را در VPN خود پیادهسازی کند، عملکردهای خاصی را در ابزارهای اداری خاص حذف و محدود کند، و نرخ تازهسازی رمز را برای برنامههای یکپارچه Okta افزایش دهد.