Jumlah perusahaan yang terjebak dalam peretasan Twilio terus bertambah

Gambar Getty

Dampak dari pelanggaran bulan ini terhadap penyedia keamanan Twilio terus datang. Tiga perusahaan baru — layanan otentikasi Authy, pengelola kata sandi LastPass, dan layanan pengiriman makanan DoorDash — mengatakan dalam beberapa hari terakhir bahwa kompromi Twilio menyebabkan mereka diretas.

Ketiga perusahaan tersebut bergabung dengan layanan otentikasi Okta dan penyedia messenger aman Signal di klub meragukan pelanggan Twilio yang diketahui telah dilanggar dalam serangan lanjutan yang memanfaatkan data yang diperoleh oleh para penyusup. Secara keseluruhan, perusahaan keamanan Group-IB mengatakan pada hari Kamis, setidaknya 136 perusahaan juga diretas, sehingga kemungkinan lebih banyak korban akan diumumkan dalam beberapa hari dan minggu mendatang.

Jarang akal

Kompromi Authy dan LastPass adalah yang paling mengkhawatirkan dari wahyu baru. Authy mengatakan itu menyimpan token otentikasi dua faktor untuk 75 juta pengguna. Mengingat kata sandi yang telah diperoleh aktor ancaman dalam pelanggaran sebelumnya, token ini mungkin satu-satunya hal yang mencegah pengambilalihan lebih banyak akun. Authy, yang dimiliki Twilio, mengatakan bahwa pelaku ancaman menggunakan aksesnya untuk masuk hanya ke 93 akun individu dan mendaftarkan perangkat baru yang dapat menerima kata sandi satu kali. Tergantung pada milik siapa akun itu, itu bisa sangat buruk. Authy mengatakan telah menghapus perangkat yang tidak sah dari akun tersebut.

LastPass mengatakan pelaku ancaman yang sama menggunakan data yang diambil dari Twilio untuk mendapatkan akses tidak sah melalui satu akun pengembang yang disusupi ke bagian dari lingkungan pengembangan pengelola kata sandi. Dari sana, para phisher “mengambil bagian dari kode sumber dan beberapa informasi teknis LastPass.” LastPass mengatakan bahwa kata sandi utama, kata sandi terenkripsi, dan data lain yang disimpan di akun pelanggan, dan informasi pribadi pelanggan tidak terpengaruh. Sementara data LastPass yang diketahui diperoleh tidak terlalu sensitif, pelanggaran apa pun yang melibatkan penyedia manajemen kata sandi utama adalah serius, mengingat banyaknya data yang disimpannya.

DoorDash juga mengatakan bahwa sejumlah pelanggan yang dirahasiakan memiliki nama, alamat email, alamat pengiriman, nomor telepon, dan nomor kartu pembayaran sebagian yang dicuri oleh pelaku ancaman yang sama. Pelaku ancaman memperoleh nama, nomor telepon, dan alamat email dari sejumlah kontraktor DoorDash yang dirahasiakan.

Seperti yang telah dilaporkan, serangan phishing awal pada Twilio direncanakan dengan baik dan dilakukan dengan presisi bedah. Pelaku ancaman memiliki nomor telepon pribadi karyawan, lebih dari 169 domain palsu yang meniru Okta dan penyedia keamanan lainnya, dan kemampuan untuk melewati perlindungan 2FA yang menggunakan kata sandi satu kali.

Kemampuan aktor ancaman untuk memanfaatkan data yang diperoleh dalam satu pelanggaran untuk melancarkan serangan rantai pasokan terhadap pelanggan korban—dan kemampuannya untuk tetap tidak terdeteksi sejak Maret—menunjukkan kecerdikan dan keahliannya. Bukan hal yang aneh bagi perusahaan yang mengumumkan pelanggaran untuk memperbarui pengungkapan mereka dalam beberapa hari atau minggu berikutnya untuk memasukkan informasi tambahan yang telah disusupi. Tidak heran jika satu atau lebih korban di sini melakukan hal yang sama.

Jika ada pelajaran dari semua kekacauan ini, tidak semua 2FA itu sama. Kata sandi satu kali yang dikirim melalui SMS atau dibuat oleh aplikasi autentikator sama mudahnya dengan kata sandi, dan itulah yang memungkinkan pelaku ancaman melewati bentuk pertahanan terakhir ini terhadap pengambilalihan akun.

Salah satu perusahaan yang menjadi sasaran namun tidak menjadi korban adalah Cloudflare. Alasannya: Karyawan Cloudflare mengandalkan 2FA yang menggunakan kunci fisik seperti Yubikeys, yang tidak dapat di-phishing. Perusahaan yang mengucapkan mantra lelah bahwa mereka menganggap serius keamanan tidak boleh dianggap serius kecuali 2FA berbasis kunci fisik adalah pokok dari kebersihan digital mereka.

Leave a Comment