Nhà cung cấp dịch vụ liên lạc Twilio trong tuần này đã tiết lộ rằng họ đã trải qua một “sự cố bảo mật ngắn” khác vào tháng 6 năm 2022 do cùng một tác nhân đe dọa đứng sau vụ hack tháng 8 gây ra dẫn đến việc truy cập trái phép thông tin khách hàng.
Sự kiện bảo mật xảy ra vào ngày 29 tháng 6 năm 2022, công ty cho biết trong một tư vấn cập nhật được chia sẻ trong tuần này, như một phần của cuộc thăm dò về đột nhập kỹ thuật số.
Twilio cho biết: “Trong vụ việc hồi tháng 6, một nhân viên Twilio đã bị xã hội thiết kế thông qua lừa đảo bằng giọng nói (hoặc ‘hiển thị') để cung cấp thông tin đăng nhập của họ và kẻ độc hại có thể truy cập thông tin liên hệ của khách hàng cho một số lượng khách hàng hạn chế”.
Nó cũng cho biết quyền truy cập có được sau cuộc tấn công thành công đã được xác định và ngăn chặn trong vòng 12 giờ, và nó đã cảnh báo về những ảnh hưởng có ảnh hưởng đến khách hàng vào ngày 2 tháng 7 năm 2022.
Công ty có trụ sở tại San Francisco đã không tiết lộ số lượng khách hàng chính xác bị ảnh hưởng bởi sự cố tháng 6 và lý do tại sao việc tiết lộ được đưa ra 4 tháng sau khi nó diễn ra. Chi tiết về vụ vi phạm thứ hai được đưa ra khi Twilio lưu ý rằng các tác nhân đe dọa đã truy cập vào dữ liệu của 209 khách hàng, tăng từ 163 được báo cáo vào ngày 24 tháng 8 và 93 người dùng Authy.
Twilio, cung cấp phần mềm tương tác với khách hàng được cá nhân hóa, có hơn 270.000 khách hàng, trong khi dịch vụ xác thực hai yếu tố Authy có tổng số khoảng 75 triệu người dùng.
“Hoạt động trái phép được quan sát thấy gần đây nhất trong môi trường của chúng tôi là vào ngày 9 tháng 8 năm 2022”, nó cho biết, “Không có bằng chứng cho thấy những kẻ độc hại đã truy cập thông tin đăng nhập tài khoản bảng điều khiển, mã thông báo xác thực hoặc khóa API của khách hàng Twilio.”
Để giảm thiểu các cuộc tấn công như vậy trong tương lai, Twilio cho biết họ đang phân phối khóa bảo mật phần cứng tuân thủ FIDO2 cho tất cả nhân viên, triển khai các lớp kiểm soát bổ sung trong VPN của mình và tiến hành đào tạo bảo mật bắt buộc cho nhân viên để nâng cao nhận thức về các cuộc tấn công kỹ thuật xã hội.
Cuộc tấn công chống lại Twilio được cho là do một nhóm hack được Group-IB và Okta theo dõi dưới tên 0ktapus và Scatter Swine, và là một phần của chiến dịch rộng lớn hơn chống lại các công ty phần mềm, viễn thông, tài chính và giáo dục.
Các chuỗi lây nhiễm đòi hỏi việc xác định số điện thoại di động của nhân viên, tiếp theo là gửi tin nhắn SMS giả mạo hoặc gọi đến những số đó để lừa họ nhấp vào các trang đăng nhập giả mạo và thu thập thông tin đăng nhập để thực hiện các hoạt động do thám trong mạng.
Ước tính có khoảng 136 tổ chức đã bị nhắm mục tiêu, một số trong số đó bao gồm Klaviyo, MailChimp, DigitalOcean, Signal, Okta và một cuộc tấn công không thành công nhằm vào Cloudflare.
