9 ago 2022

Fuga de datos en Twilio, Slack y Cloudflare

Twilio

Twilio ha confirmado que delincuentes informáticos accedieron a datos de sus clientes después de engañar con éxito a los empleados para que entregaran sus credenciales de inicio de sesión corporativas.

La empresa con sede en San Francisco, que permite a los usuarios incorporar capacidades de voz y SMS, como la autenticación de dos factores (2FA), en las aplicaciones, dijo en una publicación de su blog que se dio cuenta de que "alguien obtuvo acceso no autorizado a información relacionada con algunas cuentas de clientes de Twilio el 4 de agosto".

Twilio tiene más de 150.000 clientes, incluidos Facebook y Uber. Según la empresa, el actor de amenazas aún no identificado convenció a varios empleados de Twilio para que entregaran sus credenciales, lo que permitió el acceso a los sistemas internos de la empresa.

El ataque utilizó mensajes SMS de phishing que pretendían provenir del departamento de TI de Twilio, lo que sugería que la contraseña de los empleados había caducado o que su horario había cambiado, y aconsejaba al objetivo que iniciara sesión con una dirección web falsificada que controla el atacante.

Twilio dijo que los atacantes enviaron estos mensajes para parecer legítimos, incluidas palabras como "Okta" y "SSO", en referencia al inicio de sesión único, que muchas empresas utilizan para asegurar el acceso a sus aplicaciones internas. Twilio dijo que trabajó con los operadores estadounidenses para detener los mensajes maliciosos, así como con registradores y proveedores de alojamiento para cerrar las URL maliciosas utilizadas en la campaña.

"A pesar de esta respuesta, los actores de amenazas han seguido rotando entre operadores y proveedores de alojamiento para reanudar sus ataques", dijo Twilio. "Con base en estos factores, tenemos razones para creer que los actores de amenazas están bien organizados, son sofisticados y metódicos en sus acciones".

Desde entonces, TechCrunch se enteró de que el mismo actor también creó páginas de phishing haciéndose pasar por otras empresas de subcontratación de TI y un proveedor de servicio al cliente, aunque actualmente se desconoce el impacto en estas organizaciones, si es que lo hay.

Cuando se contactó, la portavoz de Twilio, se negó a decir cuántos clientes se vieron afectados o a qué datos accedieron los actores de amenazas. La política de privacidad de Twilio dice que la información que recopila incluye direcciones, detalles de pago, direcciones IP y, en algunos casos, prueba de identidad.

Twilio dijo que desde el ataque, revocó el acceso a las cuentas de los empleados comprometidos y aumentó su capacitación en seguridad para garantizar que los empleados estén en "alerta máxima" para los ataques de ingeniería social. La compañía dijo que ha comenzado a contactar a los clientes afectados de forma individual.

Slack

Slack notificó que restableció aproximadamente el 0,5% de las contraseñas de sus usuarios, después de corregir un error que exponía hashes de contraseña salteados, al crear o revocar enlaces de invitación compartidos para espacios de trabajo.

Slack dice que tiene más de 169.000 clientes de pago de más de 150 países, con 65 empresas Fortune 100 que utilizan sus servicios.

"Cuando un usuario realizó cualquiera de estas acciones, Slack transmitía una versión codificada de su contraseña (no texto sin formato) a otros miembros del espacio de trabajo", dijo Slack a BleepingComputer. "Aunque estos datos se compartian a través del enlace de invitación nuevos o desactivado, el cliente de Slack no almacenaba ni mostraba estos datos a los miembros de ese espacio de trabajo".

El error fue descubierto por un investigador de seguridad independiente que se lo reveló a Slack el 17 de julio. El problema afectó a todos los usuarios que crearon o revocaron enlaces de invitación compartida entre el 17 de abril de 2017 y el 17 de julio de 2022.

Afortunadamente, las contraseñas codificadas no eran visibles para los clientes de Slack, y se requería un monitoreo activo del tráfico de red cifrado de los servidores de Slack para acceder a esta información expuesta, según Slack.

Slack también agregó que no tiene motivos para considerar que el error se usó para obtener acceso a las contraseñas de texto sin formato antes de solucionarlo. "Sin embargo, por precaución, hemos restablecido las contraseñas de Slack de los usuarios afectados. Deberán establecer una nueva contraseña de Slack antes de poder iniciar sesión nuevamente".

Para asegurarse de que su cuenta no se vio comprometida, puede acceder a los registros de acceso personal aquí. Slack también aconseja a todos los usuarios que habiliten la autenticación de dos factores y creen contraseñas únicas que no se usan con otros servicios en línea.

Cloudflare

Cloudflare dice que algunas de las credenciales de sus empleados también fueron robadas en un ataque de phishing por SMS similar al que llevó a que la red de Twilio.

Sin embargo, aunque los atacantes pusieron sus manos en las cuentas de los empleados de Cloudflare, no pudieron violar sus sistemas después de que sus intentos de iniciar sesión con ellos fueran bloqueados porque no tenían acceso a las claves de seguridad compatibles con FIDO2 emitidas por la empresa de sus víctimas.

"Casi al mismo tiempo que se atacó a Twilio, vimos un ataque con características muy similares que también tenía como objetivo a los empleados de Cloudflare", explicó Cloudflare. "Si bien los empleados individuales cayeron en los mensajes de phishing, pudimos frustrar el ataque mediante nuestro propio uso de los productos Cloudflare One y las claves de seguridad física emitidas a cada empleado que se requiere para acceder a todas nuestras aplicaciones".

Como también reveló Cloudflare, después de ingresar sus credenciales en las páginas de phishing, el software de acceso remoto AnyDesk se descargó automáticamente en sus computadoras para permitir que los actores de amenazas tomen el control de sus computadoras de forma remota.

Los mensajes de phishing enviados a 76 empleados y sus familias desde los números de teléfono de T-Mobile redirigieron a los objetivos a un clon de la página de inicio de sesión de Cloudflare alojado en el dominio cloudflare-okta[.]com.

Fuente: TechCrunch | BC | BC

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!