חברת מחשוב הענן Twilio מדווחת על כך שחלק מהנתונים של לקוחותיה נחשפו על ידי האקרים אשר פרצו למערכות המחשוב של החברה באמצעות גניבת אישורי עובדים בהתקפת פישינג (דיוג) ב- SMS. החברה גם חשפה כי ההאקרים קיבלו גישה למערכות שלה לאחר שהערימו וגנבו אישורים ממספר רב של עובדים שהיו ממוקדים בתקרית הדיוג. חברת Twilio מעסיקה יותר מ- 5,000 עובדים ב- 26 משרדים ב- 17 מדינות. החברה מספקת ממשקי API ניתנים לתכנות קול, טקסט, צ'אט, וידאו ודוא"ל המשמשים למעלה מ -10 מיליון מפתחים ו- 150,000 עסקים לבניית פלטפורמות לאינטראקציה עם לקוחות. Twilio רכשה את Authy בפברואר 2015, ספקית אימות דו-גורמי פופולרי (2FA) עבור משתמשי קצה.
מתקפת הפישינג החלה לאחר שההאקרים התחזו למחלקת ה- IT של Twilio וביקשו במסרונים ששלחו לעובדי החברה ללחוץ על כתובות URL המכילות מילות מפתח "Twilio", "Okta" ו- "SSO" אשר הפנו את העובדים לעמוד משוכפל של עמוד הכניסה האמיתי של Twilio. הודעות הפישינג ב- SMS גרמו לעובדי Twilio ללחוץ על הקישורים המוטמעים בהודעות, בכך שהזהירו אותם שתוקף הסיסמאות שלהם פג או שתוכננו להשתנות. מנהלת התקשורת של טוויליו, EMEA, קתרין ג'יימס סירבה לספק מידע נוסף כשנשאלה כמה מחשבונות עובדי החברה נפגעו החשבונות במתקפת הפישינג וכמה לקוחות הושפעו מהפריצה ואמרה שלחברה "אין הערה נוספת לספק בשלב זה מעבר למה שפורסם בבלוג."
עוד נמסר מחברת Twilio כי מקור המסרונים הינו מרשתות של ספקים בארה"ב. בחברה עבדו מול ספקים אלו בארה"ב כדי לחסום את ההאקרים וכמו כן עבדו מול ספקי האירוח המשרתים את כתובות ה- URL הזדוניות כדי לסגור את חשבונות ההאקרים. יש לציין כי למרות תגובה זו, האקרים המשיכו לפעול באמצעות ספקי תקשורת וספקי אירוח כדי לחדש את ההתקפות שלהם.
Twilio ביטלה את חשבונות העובדים שנפגעו במהלך המתקפה כדי לחסום את הגישה של ההאקרים למערכות שלה והחלה להודיע ללקוחות שהושפעו מהאירוע הזה. החברה גם חשפה במאי 2021 שהיא הושפעה ממתקפת שרשרת אספקה של Codecov בשנה שעברה, שבה שינו האקרים את הכלי הלגיטימי Codecov Bash Uploader כדי לגנוב אישורים, מפתחות סודיים ואסימוני משתמש מלקוחות Codecov.
למידע נוסף, קראו את המאמר שלנו וכך תדעו כיצד ניתן להתמודד ולהמנע מממתקפות פישינג (phishing). לפתרונות ייעודים כנגד פישינג, צרו איתנו קשר עוד היום!