El gigante estadounidense de mensajería Twilio ha confirmado que los piratas informáticos también comprometieron las cuentas de algunos usuarios de Authy como parte de una violación más amplia de los sistemas de Twilio. Authy es la aplicación de autenticación de dos factores (2FA) de Twilio que adquirió en 2015.
La brecha de seguridad de Twilio a principios de este mes, en la que actores maliciosos accedieron a los datos de más de 100 clientes de Twilio después de phishing con éxito a varios empleados, sigue creciendo en escala. Esta semana, los investigadores vincularon el ataque a Twilio y otros con una campaña de phishing más amplia por parte de un grupo de piratas informáticos denominado «0ktapus», que ha robado cerca de 10,000 credenciales de empleados de al menos 130 organizaciones desde marzo.
Ahora, Twilio ha confirmado que los usuarios de Authy también se vieron afectados por la brecha.
En una actualización de su informe de incidentes del 24 de agosto, Twilio dijo que los piratas informáticos obtuvieron acceso a las cuentas de 93 usuarios individuales de Authy y registraron dispositivos adicionales, lo que permitió a los atacantes generar códigos de inicio de sesión para cualquier cuenta habilitada para 2FA conectada.
La compañía dijo que «desde entonces identificó y eliminó dispositivos no autorizados de estas cuentas de Authy» y está aconsejando a los usuarios de Authy afectados, con los que se ha puesto en contacto, que revisen las cuentas vinculadas en busca de actividad sospechosa. También recomienda que los usuarios revisen todos los dispositivos vinculados a sus cuentas de Authy y deshabiliten «permitir dispositivos múltiples» en la aplicación de Authy para evitar la adición de nuevos dispositivos.
Si bien usar cualquier autenticación de dos factores es mejor que nada, los piratas informáticos están ideando cada vez más nuevas formas de engañar a los usuarios para que entreguen códigos basados en aplicaciones, que generalmente son mucho más difíciles de obtener que los códigos enviados por mensaje de texto.
Twilio también dijo en la actualización que la cantidad de clientes de Twilio comprometidos aumentó de 125 a 163, y los piratas informáticos accedieron a los datos en estas organizaciones durante un «período de tiempo limitado». Twilio no ha nombrado a sus clientes afectados, pero algunos, como la aplicación de mensajería encriptada Signal, han notificado a sus propios usuarios que se vieron afectados por la violación de Twilio.
El gigante de la identidad Okta también confirmó el jueves que se vio comprometido como resultado de la violación de Twilio. La compañía dijo en una publicación de blog que los piratas informáticos, a los que se refiere como «Scatter Swine», falsificaron las páginas de inicio de sesión de Okta para apuntar a organizaciones que dependen del servicio de inicio de sesión único de la compañía. Okta dijo que cuando los piratas informáticos obtuvieron acceso a la consola interna de Twilio, obtuvieron una «pequeña cantidad» de números de teléfono de clientes de Okta y mensajes SMS que contenían contraseñas de un solo uso. Esta es la segunda vez que Okta informa un incidente de seguridad este año.
En su análisis de la campaña de phishing, Okta dijo que los piratas informáticos de Scatter Swine probablemente recopilaron números de teléfonos móviles de los servicios de agregación de datos que vinculan los números de teléfono con los empleados de organizaciones específicas. Al menos uno de los piratas informáticos llamó a los empleados objetivo que se hacían pasar por soporte de TI y señalaron que el acento del pirata informático «parece ser norteamericano». Esto puede alinearse con la investigación de Group-IB de esta semana, que sugirió que uno de los piratas informáticos involucrados en la campaña podría residir en Carolina del Norte.
DoorDash el jueves también confirmó esta semana que fue comprometido por el mismo grupo de piratería. El gigante de la entrega de alimentos le dijo a Tecno que los piratas informáticos maliciosos robaron las credenciales de los empleados de un proveedor externo que luego se usaron para obtener acceso a algunas de las herramientas internas de DoorDash. La compañía se negó a nombrar al tercero, pero confirmó que el proveedor no era Twilio.