Ataque ao Twilio levou à exposição de códigos de autenticação em duas etapas
Por Felipe Demartini • Editado por Claudio Yuge |
Uma combinação de exposições recentes levou a um ataque altamente direcionado, envolvendo a exposição de códigos de autenticação em duas etapas da Okta a partir da intrusão aos sistemas do Twilio. De acordo com a empresa de serviços de autenticação, 38 usuários foram atingidos pela exposição, quase todos de uma mesma organização não divulgada, no que parecia ser um ataque direcionado a ela.
- 5 falhas abrem brechas para ciberataques em empresas
- Ciberataques corporativos com documentos infectados crescem 11%
O comprometimento foi resultado de uma intrusão confirmada pela Twilio, que fornece serviços de comunicação, no início deste mês. Após a descoberta de um acesso não-autorizado aos sistemas internos da empresa, seu time de segurança descobriu a exposição de informações relacionadas à Okta, mais precisamente, códigos de autenticação enviados por sua plataforma a números de telefone de alguns de seus usuários.
Seria, na visão da empresa, parte de um golpe envolvendo também credenciais roubadas, cujo acesso seria protegido por verificação em duas etapas. Cerca de 50 mensagens de validação teriam sido expostas desta maneira, mas os telefones pesquisados pelos atacantes não teriam sido utilizados de forma maliciosa, para o envio de phishing, por exemplo. Como a identidade das organizações atingidas é desconhecida, também não se sabe se o ataque foi bem-sucedido.
A Okta disse ter redirecionado o envio de mensagens de verificação por outros números assim que descobriu o comprometimento em seus próprios sistemas. A empresa também afirmou que os códigos de autenticação têm validade de apenas cinco minutos, o que torna a exploração direcionada menos perigosa, a não ser nos casos em que os criminosos estão agindo diretamente.
O grupo responsável pelos ataques foi batizado pela própria Okta como Scatter Swine e seria também o responsável por uma grande campanha de phishing, revelada na última semana, que atingiu mais de 130 organizações. Cerca de nove mil credenciais teriam vazado como parte de uma ofensiva de golpes via SMS, com direito à já citada Twilio e também a gerenciadora de sites Cloudflare. Nestes casos, os criminosos usaram páginas falsas e redirecionamentos para roubar credenciais de funcionários de organizações, inclusive, do Brasil.
Os responsáveis pela campanha conhecidos como 0ktapus também miraram familiares e colegas de trabalho dos indivíduos atingidos por meio de golpes de falso suporte, como forma de entender processos de autenticação e o uso de dispositivos nas organizações. A ideia é que os bandidos seriam americanos, mirando falantes do inglês como forma de obter acesso às redes internas que, mais tarde, podem ser vendidos em mercados cibercriminosos.
A recomendação de segurança aos usuários dos sistemas da Okta e outras plataformas de autenticação em duas etapas é irem além desse sistema, apenas. Regras de autorização e restrição de acesso, baseado em pré-requisitos, também podem ser aplicadas para identificar comportamento malicioso, assim como o uso de chaves físicas de autenticação ou mecanismos biométricos.
Filtros de e-mail e mensagens de texto, assim como treinamentos para os colaboradores, também ajudam a diferenciar mensagens fraudulentas daquelas legítimas. Todo cuidado deve ser mantido com credenciais e, principalmente, códigos de autenticação, que somente devem ser inseridos em interfaces oficiais.
Fonte: Okta