La société de communication Twilio a subi une brèche au début du mois d’août qui, selon elle, a touché 163 de ses organisations clientes. Sur les 270 000 clients de Twilio, 0,06 % peut sembler insignifiant, mais le rôle particulier de l’entreprise dans l’écosystème numérique signifie que cette fraction de victimes avait une valeur et une influence démesurées. L’application de messagerie sécurisée Signal, l’application d’authentification à deux facteurs Authy et la société d’authentification Okta sont tous des clients de Twilio qui ont été les victimes secondaires de la violation.
Twilio fournit des interfaces de programmation d’applications grâce auxquelles les entreprises peuvent automatiser les services d’appels et de SMS. Cela pourrait signifier un système qu’un barbier utilise pour rappeler aux clients les coupes de cheveux et leur faire répondre par SMS « Confirmer » ou « Annuler ». Mais il peut également s’agir de la plate-forme via laquelle les organisations gèrent leurs systèmes de messagerie texte à authentification à deux facteurs pour l’envoi de codes d’authentification à usage unique. Bien que l’on sache depuis longtemps que les SMS sont un moyen non sécurisé de recevoir ces codes, c’est certainement mieux que rien, et les organisations n’ont pas été en mesure de s’éloigner complètement de cette pratique. Même une entreprise comme Authy, dont le produit principal est une application de génération de code d’authentification, utilise certains des services de Twilio.
La campagne de piratage de Twilio, par un acteur qui a été appelé « 0ktapus » et « Scatter Swine », est importante car elle illustre que les attaques de phishing peuvent non seulement fournir aux attaquants un accès précieux à un réseau cible, mais elles peuvent même lancer des attaques sur la chaîne d’approvisionnement. dans lequel l’accès aux systèmes d’une entreprise ouvre une fenêtre sur ceux de ses clients.
« Je pense que cela restera comme l’un des hacks longs les plus sophistiqués de l’histoire », a déclaré un ingénieur en sécurité qui a demandé à ne pas être nommé parce que son employeur a des contrats avec Twilio. « C’était un piratage patient qui était super ciblé mais large. Pwn l’authentification multifacteur, pwn le monde.
Les attaquants ont compromis Twilio dans le cadre d’une campagne de phishing massive mais personnalisée contre plus de 130 organisations dans laquelle les attaquants ont envoyé des SMS de phishing aux employés des entreprises cibles. Les textes affirmaient souvent provenir du service informatique ou de l’équipe logistique d’une entreprise et exhortaient les destinataires à cliquer sur un lien et à mettre à jour leur mot de passe ou à se connecter pour examiner un changement d’horaire. Twilio indique que les URL malveillantes contenaient des mots tels que « Twilio », « Okta » ou « SSO » pour rendre l’URL et la page de destination malveillante qu’elle reliait plus légitimes. Les attaquants ont également ciblé la société d’infrastructure Internet Cloudflare dans leur campagne, mais la société a déclaré début août qu’elle n’était pas compromise en raison de ses limites d’accès des employés et de l’utilisation de clés d’authentification physiques pour les connexions.
« Le point le plus important ici est le fait que le SMS a été utilisé comme vecteur d’attaque initial dans cette campagne au lieu de l’e-mail », explique Crane Hassold, directeur du renseignement sur les menaces chez Abnormal Security et ancien analyste du comportement numérique pour le FBI. «Nous avons commencé à voir de plus en plus d’acteurs s’éloigner du courrier électronique comme ciblage initial et, à mesure que les alertes par SMS deviennent plus courantes au sein des organisations, cela va rendre ces types de messages de phishing plus efficaces. Pour l’anecdote, je reçois des SMS de différentes entreprises avec lesquelles je fais affaire tout le temps maintenant, et ce n’était pas le cas il y a un an.