Lo schema di phishing di Twilio intrappola Okta in un problema di sicurezza.
In una serie di recenti eventi, la società di cybersecurity Okta e il provider di telecomunicazioni Twilio sono stati presi di mira dal noto gruppo estorsivo Lapsus$, portando all'esposizione di dati sensibili.
Gli attacchi di phishing, avvenuti l'4 agosto, hanno interessato 163 clienti di Twilio, inclusa Okta. Il gruppo dietro la campagna "Scatter Swine" è riuscito a compromettere circa 10.000 credenziali utente in 136 organizzazioni, con obiettivi che vanno da società tecnologiche e provider di telecomunicazioni a quelle legate alla criptovaluta.
Okta ha inizialmente negato qualsiasi violazione, ma in seguito ha ammesso di essere stata compromessa da Lapsus$. Il gruppo ha ottenuto l'accesso ai dati di Okta attraverso un fornitore terze parti. Il threat actor ha sfruttato gli username e le password rubati in campagne di phishing precedenti per attivare processi di autenticazione tramite messaggi di testo, potenzialmente esponendo le password a uso singolo di più clienti Okta.
Despite the exposure, Okta asserts that no accounts were accessed by the threat actor. Twilio, on the other hand, notified Okta about the data exposure four days after becoming aware of the attack. The one-time passwords expire after five minutes, limiting the potential damage.
Il threat actor ha utilizzato l'accesso ai sistemi di Twilio per cercare password a uso singolo inviate come risultato di richieste di autenticazione a due fattori. L'attore ha cercato specificamente 38 numeri di telefono unici nel portale amministrativo di Twilio, quasi tutti collegati a un'unica organizzazione target.
Okta ha reindirizzato le comunicazioni via messaggi di testo a un altro provider dopo la violazione. Per aiutare altre organizzazioni nelle attività di caccia alle minacce, Okta ha dettagliato le tecniche, le tecnologie e le procedure della campagna Scatter Swine. L'attacco di phishing presenta i segni di una campagna persistente e sofisticata che potrebbe portare a ulteriori obiettivi a valle.
Il threat actor a volte si spaccia per supporto per capire come funziona l'autenticazione, dimostrando una profonda comprensione dei sistemi che sta prendendo di mira. Questo incidente serve come promemoria per tutte le organizzazioni di restare vigili contro attacchi sofisticati e di prioritizzare le misure di cybersecurity.
Un "piccolo numero" di clienti Okta è stato informato dell'impatto potenziale. Okta continua a indagare sulla violazione e a lavorare a stretto contatto con le autorità per identificare e mitigare eventuali ulteriori rischi.
Leggi anche:
- L'orologio misterioso Cartier di fascia alta si aspetta di vendere per oltre 6 milioni di dollari all'asta autunnale
- Impatto dell'imaging avanzato sulla guarigione dei pazienti colpiti da ictus
- La più importante pubblicazione sportiva portoghese A BOLA fornirà copertura esclusiva per il Summit SBC, promette contenuti sportivi di alta qualità
- Il potenziale disordine del conflitto spaziale a causa della sindrome di Kessler
