Pazartesi, Haziran 17, 2024
Ana SayfaTeknoloji HaberleriTwilio hackine yakalanan şirketlerin sayısı artmaya devam ediyor

Twilio hackine yakalanan şirketlerin sayısı artmaya devam ediyor

Twilio hackine yakalanan şirketlerin sayısı artmaya devam ediyor

Getty Resimleri

Bu ayki güvenlik sağlayıcısı Twilio ihlalinin sonuçları gelmeye devam ediyor. Üç yeni şirket – kimlik doğrulama hizmeti Authy, parola yöneticisi LastPass ve yemek dağıtım hizmeti DoorDash – son günlerde Twilio uzlaşmasının onların saldırıya uğramasına yol açtığını söyledi.

Üç şirket, davetsiz misafirler tarafından elde edilen verilerden yararlanan müteakip saldırılarda ihlal edildiği bilinen Twilio müşterilerinin şüpheli kulübünde kimlik doğrulama hizmeti Okta ve güvenli mesajlaşma sağlayıcısı Signal’e katıldı. Güvenlik firması Group-IB Perşembe günü yaptığı açıklamada, en az 136 şirketin benzer şekilde saldırıya uğradığını, bu nedenle önümüzdeki günlerde ve haftalarda daha fazla kurbanın açıklanacağını söyledi.

Nadiren becerikli

Authy ve LastPass’in uzlaşmaları, yeni ifşaatlar arasında en endişe verici olanı. Authy, 75 milyon kullanıcı için iki faktörlü kimlik doğrulama belirteçlerini sakladığını söylüyor. Tehdit aktörünün önceki ihlallerde zaten elde ettiği şifreler göz önüne alındığında, bu tokenler daha fazla hesabın ele geçirilmesini engelleyen tek şey olabilir. Twilio’nun sahibi olduğu Authy, tehdit aktörünün erişimini yalnızca 93 bireysel hesaba giriş yapmak ve bir kerelik şifre alabilecek yeni cihazları kaydetmek için kullandığını söyledi. Bu hesapların kime ait olduğuna bağlı olarak, bu çok kötü olabilir. Authy, o zamandan beri yetkisiz cihazları bu hesaplardan kaldırdığını söyledi.

LastPass, aynı tehdit aktörünün Twilio’dan alınan verileri, güvenliği ihlal edilmiş tek bir geliştirici hesabı aracılığıyla parola yöneticisinin geliştirme ortamının bölümlerine yetkisiz erişim sağlamak için kullandığını söyledi. Oradan, kimlik avcıları “kaynak kodunun bölümlerini ve bazı özel LastPass teknik bilgilerini aldı.” LastPass, ana parolaların, şifreli parolaların ve müşteri hesaplarında depolanan diğer verilerin ve müşterilerin kişisel bilgilerinin etkilenmediğini söyledi. Elde edildiği bilinen LastPass verileri özellikle hassas olmasa da, depoladığı verilerin zenginliği göz önüne alındığında, büyük bir şifre yönetimi sağlayıcısını içeren herhangi bir ihlal ciddidir.

DoorDash ayrıca, açıklanmayan sayıda müşterinin adlarının, e-posta adreslerinin, teslimat adreslerinin, telefon numaralarının ve kısmi ödeme kartı numaralarının aynı tehdit aktörü tarafından çalındığını söyledi. Tehdit aktörü, açıklanmayan sayıda DoorDash yüklenicisinden isimler, telefon numaraları ve e-posta adresleri aldı.

Daha önce bildirildiği gibi, Twilio’ya yapılan ilk kimlik avı saldırısı iyi planlanmış ve cerrahi hassasiyetle yürütülmüştür. Tehdit aktörlerinin özel telefon numaraları, Okta ve diğer güvenlik sağlayıcılarını taklit eden 169’dan fazla sahte alan adı ve tek kullanımlık şifreler kullanan 2FA korumalarını atlama yeteneği vardı.

Tehdit aktörünün, kurbanların müşterilerine karşı tedarik zinciri saldırıları başlatmak için tek bir ihlalde elde edilen verilerden yararlanma ve Mart ayından bu yana tespit edilmeme becerisi, becerikliliğini ve becerisini gösteriyor. İhlalleri duyuran şirketlerin, ifşa edilen ek bilgileri dahil etmek için ifşalarını takip eden günlerde veya haftalarda güncellemeleri nadir değildir. Buradaki bir veya daha fazla kurbanın da aynı şeyi yapması şaşırtıcı olmayacaktır.

Bütün bu karmaşada bir ders varsa, o da 2FA’nın hepsinin eşit olmadığıdır. SMS ile gönderilen veya kimlik doğrulama uygulamaları tarafından oluşturulan tek seferlik şifreler, şifreler kadar kimlik avına açıktır ve bu, tehdit aktörlerinin hesap ele geçirmelerine karşı bu son savunma biçimini atlamasına izin veren şeydir.

Hedeflenen ancak kurban olmayan bir şirket Cloudflare oldu. Nedeni: Cloudflare çalışanları, kimlik avı yapamayan Yubikeys gibi fiziksel anahtarlar kullanan 2FA’ya güveniyordu. Güvenliği ciddiye aldıklarını söyleyen yorgun mantraları söyleyen şirketler, fiziksel anahtar tabanlı 2FA dijital hijyenlerinin temelini oluşturmadıkça ciddiye alınmamalıdır.

RELATED ARTICLES

Popüler Konular