iletişim şirketi Twilio, Ağustos ayının başında, 163 müşteri kuruluşunu etkilediğini söylediği bir ihlal yaşadı. Twilio’nun 270.000 müşterisinden yüzde 0.06’sı önemsiz görünebilir, ancak şirketin dijital ekosistemdeki özel rolü, bu küçük kurban diliminin çok büyük bir değere ve etkiye sahip olduğu anlamına gelir. Güvenli mesajlaşma uygulaması Signal, iki faktörlü kimlik doğrulama uygulaması Authy ve kimlik doğrulama firması Okta, ihlalin ikincil kurbanları olan Twilio müşterileridir.
Twilio, şirketlerin arama ve mesajlaşma hizmetlerini otomatikleştirebilecekleri uygulama programlama arayüzleri sağlar. Bu, bir berberin müşterilere saç kesimlerini hatırlatmak ve onlara “Onayla” veya “İptal” mesajı göndermelerini sağlamak için kullandığı bir sistem anlamına gelebilir. Ancak, kuruluşların tek seferlik kimlik doğrulama kodları göndermek için iki faktörlü kimlik doğrulama metin mesajlaşma sistemlerini yönettikleri platform da olabilir. SMS’in bu kodları almanın güvenli olmayan bir yolu olduğu uzun zamandır bilinmesine rağmen, kesinlikle hiç yoktan iyidir ve kuruluşlar uygulamadan tamamen uzaklaşamamıştır. Ana ürünü bir kimlik doğrulama kodu oluşturma uygulaması olan Authy gibi bir şirket bile Twilio’nun bazı hizmetlerini kullanıyor.
“0ktapus” ve “Scatter Swine” olarak adlandırılan bir aktör tarafından yürütülen Twilio hackleme kampanyası önemlidir, çünkü phishing saldırılarının yalnızca saldırganlara hedef ağa değerli erişim sağlamadığını, aynı zamanda tedarik zinciri saldırılarını başlatabildiğini gösterir. bir şirketin sistemlerine erişim, müşterilerinin sistemlerine bir pencere sağlar.
İşverenlerinin Twilio ile sözleşmeleri olduğu için ismini vermek istemeyen bir güvenlik mühendisi, “Bunun, tarihin en karmaşık uzun biçimli hacklerinden biri olarak geçeceğini düşünüyorum” dedi. “Süper hedefli ancak geniş kapsamlı bir hasta hackiydi. Çok faktörlü kimlik doğrulamayı pwn, dünyayı pwn.”
Saldırganlar, hedef şirketlerdeki çalışanlara kimlik avı SMS metin mesajları gönderdiği 130’dan fazla kuruluşa karşı büyük ancak özel olarak tasarlanmış bir kimlik avı kampanyasının parçası olarak Twilio’nun güvenliğini ele geçirdi. Genellikle bir şirketin BT departmanından veya lojistik ekibinden geldiği iddia edilen metinler, alıcıları bir bağlantıya tıklayıp şifrelerini güncellemeye veya bir zamanlama değişikliğini gözden geçirmek için oturum açmaya çağırdı. Twilio, kötü niyetli URL’lerin URL’yi ve bağlantı verdiği kötü amaçlı açılış sayfasını daha meşru göstermek için “Twilio”, “Okta” veya “SSO” gibi kelimeler içerdiğini söylüyor. Saldırganlar kampanyalarında internet altyapı şirketi Cloudflare’ı da hedef aldılar, ancak şirket Ağustos ayının başında, çalışan erişimi ve girişler için fiziksel kimlik doğrulama anahtarlarının kullanımı üzerindeki sınırlamaları nedeniyle güvenliğin ihlal edilmediğini söyledi.
Abnormal Security’de tehdit istihbaratı direktörü ve FBI için eski bir dijital davranış analisti olan Crane Hassold, “Buradaki en büyük nokta, bu kampanyada e-posta yerine ilk saldırı vektörü olarak SMS’nin kullanılmasıdır” diyor. “İlk hedefleme olarak e-postadan uzaklaşan daha fazla aktör görmeye başladık ve kısa mesaj uyarıları kuruluşlarda daha yaygın hale geldikçe, bu tür kimlik avı mesajlarını daha başarılı hale getirecek. Anekdot olarak, şimdi her zaman iş yaptığım farklı şirketlerden kısa mesajlar alıyorum ve bir yıl önce durum böyle değildi.”