Twilio revela que fue golpeado por otra violación de datos

Twilio revela que fue golpeado por otra violación de datos

La violación de datos que afectó a Twilio en agosto de 2022, que resultó en el robo (se abre en una nueva pestaña) de datos de información del cliente, no fue la primera vez que el mismo actor de amenazas atacó a la empresa, según confirmó.

Después de semanas de investigación, Twilio dice que ahora completó su investigación sobre el incidente y, en una publicación de blog de seguimiento, reveló que el mismo actor malicioso también logró comprometer sus sistemas a fines de junio de 2022.

Sin embargo, a diferencia del incidente de agosto que fue provocado por un ataque de smishing, el incidente de junio se llevó a cabo mediante vishing, phishing de voz.

datos de clientes robados

“En el incidente de junio, un empleado de Twilio fue manipulado socialmente mediante phishing de voz (o “vishing”) para que proporcionara sus credenciales, y el actor malicioso pudo acceder a la información de contacto de un número limitado de clientes”, explicó la empresa. Dijo además que eliminó al hacker en 12 horas y el 2 de julio notificó a todos los afectados por el incidente.

Durante el ataque de agosto, dijo Twilio, los atacantes utilizaron las credenciales de inicio de sesión obtenidas a través del ataque smishing para violar los sistemas internos que no son de producción y los puntos finales (se abre en una nueva pestaña). Allí encontraron datos de 209 clientes, así como de 93 usuarios finales de Authy.

“209 clientes, de una base total de clientes de más de 270,000, y 93 usuarios finales de Authy, de aproximadamente 75 millones de usuarios totales, tenían cuentas que se vieron afectadas por el incidente”, dijo Twilio. . La investigación también mostró que es probable que no se accediera a las credenciales de la cuenta de la consola de los clientes, las claves API o los tokens de autenticación.

La compañía reveló el incidente el 7 de agosto, pero luego se enteró de que los piratas informáticos se demoraron dos días más. “La última actividad no autorizada observada en nuestro entorno data del 9 de agosto de 2022”, agregó la compañía.

Según el informe, el ataque a Twilio no fue un incidente aislado, sino parte de una campaña de ciberdelincuencia más grande por parte de un grupo conocido como Scatter Swine (también conocido como 0ktapus). Al menos 130 organizaciones se vieron afectadas, incluidas MailChimp y Cloudflare.

Vía: BleepingComputer (se abre en una nueva pestaña)