Nhà cung cấp dịch vụ truyền thôngTwiliotrong tuần này tiết lộ rằng họ đã trải qua một "sự cố bảo mật ngắn gọn" khác vào tháng 6 năm 2022 do cùng một tác nhân đe dọa gây ra đằng sau vụ hack tháng 8 dẫn đến việc truy cập trái phép thông tin khách hàng.
Sự kiện bảo mật xảy ra vào ngày 29 tháng 6 năm 2022, công ty cho biết trong một lời khuyên cập nhật được chia sẻ trong tuần này, như một phần của cuộc điều tra về vụ đột nhập kỹ thuật số.
Twilio nói: "Trong sự cố tháng 6, một nhân viên của Twilio đã được thiết kế xã hội thông qua lừa đảo bằng giọng nói (hoặc 'vishing') để cung cấp thông tin đăng nhập của họ và tác nhân độc hại đã có thể truy cập thông tin liên hệ của khách hàng cho một số lượng khách hàng hạn chế. "
Nó nói thêm rằng quyền truy cập đạt được sau cuộc tấn công thành công đã được xác định và cản trở trong vòng 12 giờ, và họ đã cảnh báo những khách hàng bị ảnh hưởng vào ngày 2 tháng 7 năm 2022.
Công ty có trụ sở tại San Francisco không tiết lộ chính xác số lượng khách hàng bị ảnh hưởng bởi sự cố tháng 6 và lý do tại sao việc tiết lộ được thực hiện bốn tháng sau khi nó diễn ra. Chi tiết về vụ vi phạm thứ hai được đưa ra khi Twilio lưu ý rằng các tác nhân đe dọa đã truy cập dữ liệu của 209 khách hàng, tăng từ 163 người mà họ báo cáo vào ngày 24 tháng 8 và 93 người dùng Authy.
Twilio, cung cấp phần mềm tương tác với khách hàng được cá nhân hóa, có hơn 270,000 khách hàng, trong khi dịch vụ xác thực hai yếu tố Authy của nó có tổng cộng khoảng 75 triệu người dùng.
"Hoạt động trái phép được quan sát lần cuối trong môi trường của chúng tôi là vào ngày 9 tháng 8 năm 2022," nó nói và nói thêm, "Không có bằng chứng nào cho thấy các tác nhân độc hại đã truy cập thông tin đăng nhập tài khoản bảng điều khiển, mã thông báo xác thực hoặc khóa API của khách hàng Twilio."
Để giảm thiểu các cuộc tấn công như vậy trong tương lai, Twilio cho biết họ đang phân phối khóa bảo mật phần cứng tuân thủ FIDO2 cho tất cả nhân viên, triển khai các lớp kiểm soát bổ sung trong VPN của mình và tiến hành đào tạo bảo mật bắt buộc cho nhân viên để nâng cao nhận thức về các cuộc tấn công kỹ thuật xã hội.
Cuộc tấn công chống lại Twilio được cho là do một nhóm hack bị Group-IB và Okta theo dõi dưới tên 0ktapus và Scatter Swine, và là một phần của chiến dịch rộng lớn hơn chống lại các công ty phần mềm, viễn thông, tài chính và giáo dục.
Các chuỗi lây nhiễm đòi hỏi phải xác định số điện thoại di động của nhân viên, tiếp theo là gửi SMS giả mạo hoặc gọi đến những số đó để lừa họ nhấp vào các trang đăng nhập giả mạo và thu thập thông tin đăng nhập được nhập cho các hoạt động trinh sát tiếp theo trong mạng.
Ước tính có tới 136 tổ chức đã bị nhắm mục tiêu, một số trong số đó bao gồm Klaviyo, MailChimp, DigitalOcean, Signal, Okta và một cuộc tấn công không thành công nhằm vào Cloudflare.