- Twilio 宣布,在 2022 年 7 月中旬,恶意行为者向 Twilio 现任和前任员工的手机发送了数百条短信。
- 威胁参与者通过将用户引导到托管在恶意参与者创建的域上的虚假页面来设法破坏用户凭据。
- 调查显示,209 名客户和 93 名 Authy 最终用户的账户受到事件影响。
夏末,Twilio宣布了一起数据泄露事件,导致攻击者从公司窃取客户信息数据。该公司终于结束了调查,并发布了博客文章的最终更新。根据最终公告,这不是第一次相同的威胁行为者设法窃取数据。
短信网络钓鱼
根据公告,2022 年 7 月中旬,演员向现任和前任员工发送了数百条 SMS 网络钓鱼(也称为 Smishing)消息。冒充 Twilio IT 团队或其他管理员的攻击者敦促员工单击一个链接,该链接看起来像一个密码重置链接。导致虚假页面的链接托管在 twilio-sso.com、twilio.net、twilio.org、sendgrid-okta.org、twilio-okta.net 和 twilio-okta.com 等域上。
在一些员工在这些虚假网站上输入他们的凭据后,这些凭据被参与者获取并用于访问内部 Twilio 管理工具和应用程序以访问某些客户信息。这些行为者可能对 6 月 29 日发生的安全事件负有责任。在该事件中,一名员工通过语音网络钓鱼进行社会工程以提供其凭据,并且恶意行为者能够访问有限数量客户的客户联系信息。
该公司设法在 12 小时内识别并消除了威胁行为者,并于 7 月 2 日通知了信息受到 6 月事件影响的客户。对 Smishing 事件的调查发现如下:
- 我们环境中最后一次观察到的未经授权的活动是在 2022 年 8 月 9 日;
- 在超过 270,000 的总客户群中,有 209 名客户和大约 7500 万总用户中的 93 名 Authy 最终用户的帐户受到事件影响;和
- 没有证据表明恶意行为者访问了 Twilio 客户的控制台帐户凭据、身份验证令牌或API密钥。
在发现未经授权访问我们的系统后,Twilio 采取了一系列措施来消除恶意行为者在 Smishing 事件期间的访问,包括:
- 重置受损 Twilio 员工用户帐户的凭据;
- 撤销所有与 Okta 集成应用程序受损相关的活动会话;
- 阻止与攻击相关的所有危害指标;和
- 发起虚假 Twilio 域的删除请求。
为了防止或减轻未来类似的 smishing 和 vishing 攻击的效力,Twilio 还实施了许多额外的安全措施,包括:
- 实施更强有力的两因素预防措施并向所有员工分发 FIDO2 代币;
- 在我们的VPN中实施额外的控制层;
- 删除和限制特定管理工具中的某些功能;
- 增加 Okta 集成应用程序的令牌刷新频率;
- 对所有员工进行关于基于社会工程技术的攻击的补充强制性安全培训。
特维利奥说,
« 我们想就这些事件向我们的客户道歉。我们已经与数百名客户进行了交谈,表达了我们的遗憾,并描述了我们不断改进的努力。我们非常感谢客户所表现出的理解和支持,并且我们已经分享了我们做得更好的承诺。我们从对安全状况所做的重大改进中看到了直接的好处,并且正在进行长期投资以继续赢得客户的信任。»
