クラウド通信会社の Twilio は、8 月のハッキングと同じ攻撃者が一部の顧客の情報にアクセスした 2022 年 6 月のセキュリティ インシデントに起因する新しいデータ侵害を明らかにしました。
Twilio は、これは 6 月 29 日の「簡単なセキュリティ インシデント」であると述べています。攻撃者は、ソーシャル エンジニアリングを使用して従業員を騙し、ボイス フィッシング攻撃で資格情報を渡させました。
盗まれた資格情報は、「限られた数の顧客の顧客連絡先情報にアクセスするために」使用されました。
「脅威アクターのアクセスが特定され、12 時間以内に根絶されました。6 月のインシデントの影響を受けた情報を持つ顧客は、2022 年 7 月 2 日に通知されました」と、同社は木曜日に明らかにしました。
8 月のデータ漏洩の影響を受けた 209 人の顧客
Twilio はまた、8 月の侵害の背後にいるハッカーが、SMS フィッシング攻撃で盗まれた従業員の資格情報を使用して社内の非実稼働システムに侵入した後、209 人の顧客と 93 人の Authy エンド ユーザーのデータにアクセスしたことを共有しました。
「270,000 を超える全顧客ベースのうち 209 人の顧客と、約 7,500 万人の全ユーザーのうち 93 人の Authy エンド ユーザーが、インシデントの影響を受けたアカウントを持っていました」と Twilio は述べています。
インシデント調査の結果、Twilio は、顧客のコンソール アカウント資格情報、API キー、または認証トークンにもアクセスされたという証拠を発見しませんでした。
同社は 8 月 7 日にインシデントを公開しましたが、攻撃者がさらに 2 日間、この環境へのアクセスを維持していたことを明らかにしました。
「私たちの環境で最後に確認された不正な活動は、2022 年 8 月 9 日でした」と同社は付け加えました。
大規模な組織的 SMS フィッシング キャンペーン
Twilio が 8 月のインシデント後に述べたように、攻撃者は SMS フィッシング攻撃で盗まれた従業員の資格情報を使用してネットワークにアクセスしました。
Twilio のシステムに侵入すると、ハッカーは管理ポータルを使用して顧客データにアクセスし、Authy 2FA アカウントとコードにアクセスし、独自のデバイスを登録して一時的なトークンを取得しました。
Twilio のデータ漏えいは、 Scatter Swineまたは0ktapusとして追跡されている攻撃者による、 MailChimp 、 Klaviyo 、 Cloudflareなど、少なくとも 130 の組織を標的としたより広範なキャンペーンの一部です。
Cloudflare は、従業員が同様の SMS フィッシング攻撃で資格情報を盗まれたことも明らかにしましたが、攻撃者は、会社が発行した FIDO2 準拠のハードウェア セキュリティ キーによってログイン試行がブロックされた後、システムへの侵入に失敗したと述べています。
6 月と 8 月の侵害の結果、Twilio は、侵害された従業員のユーザー アカウントの資格情報をリセットし、FIDO2 トークンをすべての従業員に配布していると述べています。
Comments