El número de empresas atrapadas en hacks recientes sigue aumentando
El número de empresas atrapadas en hacks recientes sigue aumentando
Expand
imágenes falsas
En las últimas semanas, el proveedor de seguridad Twilio reveló que había sido pirateado por phishers con buenos recursos, que utilizaron su acceso para robar los datos de 163 de sus clientes. Mientras tanto, la firma de seguridad Group-IB dijo que los mismos phishers que atacaron a Twilio piratearon al menos 136 empresas en ataques avanzados similares.
En los últimos días, tres empresas, Authy, propiedad de Twilio, el administrador de contraseñas LastPass y la red de entrega de alimentos DoorDash, han revelado violaciones de datos que parecen estar relacionadas con la misma actividad. El servicio de autenticación Okta y el proveedor de mensajería segura Signal dijeron recientemente que se accedió a sus datos luego de la violación de Twilio.
Group-IB dijo el jueves que al menos 136 negocios han sido phishing por el mismo actor de amenazas que Twilio. DoorDash es uno de ellos, dijo un representante de la compañía a TechCrunch.
Ingenioso
Los compromisos de Authy y LastPass son los más preocupantes de las nuevas revelaciones. Authy dice que almacena tokens de autenticación de dos factores para 75 millones de usuarios. Dadas las contraseñas que el actor de amenazas ya obtuvo de infracciones anteriores, estos tokens pueden haber sido lo único que impidió la toma de control de varias cuentas. Authy dijo que el actor de amenazas usó su acceso para iniciar sesión en solo 93 cuentas individuales e inscribir nuevos dispositivos que podrían recibir contraseñas de un solo uso. Dependiendo de quién sea el propietario de estas cuentas, esto podría ser muy malo. Authy dijo que desde entonces eliminó dispositivos no autorizados de estas cuentas.
LastPass dijo que un actor malintencionado obtuvo acceso no autorizado a partes del entorno de desarrollo del administrador de contraseñas a través de una sola cuenta de desarrollador comprometida. A partir de ahí, el actor de amenazas "tomó partes del código fuente de LastPass y la información técnica patentada". LastPass dijo que las contraseñas maestras, las contraseñas encriptadas y otros datos almacenados en las cuentas de los clientes, así como la información personal de los clientes, no se vieron afectados. Si bien los datos de LastPass que se sabe que se obtienen no son particularmente confidenciales, cualquier infracción que involucre a un importante proveedor de gestión de contraseñas es grave, dada la gran cantidad de datos que almacena.
DoorDash también dijo que a un número no revelado de clientes les robaron sus nombres, direcciones de correo electrónico, direcciones de envío, números de teléfono y números de tarjetas de pago parciales por el mismo actor malicioso que algunos llaman Scatter Swine. El actor de amenazas obtuvo los nombres, números de teléfono y direcciones de correo electrónico de un número no revelado de contratistas de DoorDash.
Como ya se informó, el ataque inicial de phishing en Twilio estuvo bien planeado y ejecutado con precisión quirúrgica. Los actores de amenazas tenían números de teléfono de empleados privados, más de 169 dominios falsificados que imitaban a Okta y otros proveedores de seguridad, y la capacidad de eludir las protecciones 2FA que usaban contraseñas de un solo uso.
La capacidad del actor de amenazas para aprovechar los datos obtenidos de una infracción para lanzar ataques a la cadena de suministro contra los clientes de las víctimas, y su capacidad para pasar desapercibido desde marzo, demuestra su ingenio y habilidad. No es raro que las empresas que anuncian infracciones actualicen sus divulgaciones en días o semanas para incluir información adicional que se ha visto comprometida. No sorprenderá si una o más víctimas aquí hacen lo mismo.
Si hay una lección en todo este lío, es que no todas las 2FA son iguales. Las contraseñas de un solo uso enviadas por mensaje de texto o generadas por aplicaciones de autenticación son tan phishing como las contraseñas, y esto es lo que ha permitido a los piratas eludir esta última forma de defensa contra la usurpación de cuentas.
En las últimas semanas, el proveedor de seguridad Twilio reveló que había sido pirateado por phishers con buenos recursos, que utilizaron su acceso para robar los datos de 163 de sus clientes. Mientras tanto, la firma de seguridad Group-IB dijo que los mismos phishers que atacaron a Twilio piratearon al menos 136 empresas en ataques avanzados similares.
En los últimos días, tres empresas, Authy, propiedad de Twilio, el administrador de contraseñas LastPass y la red de entrega de alimentos DoorDash, han revelado violaciones de datos que parecen estar relacionadas con la misma actividad. El servicio de autenticación Okta y el proveedor de mensajería segura Signal dijeron recientemente que se accedió a sus datos luego de la violación de Twilio.
Group-IB dijo el jueves que al menos 136 negocios han sido phishing por el mismo actor de amenazas que Twilio. DoorDash es uno de ellos, dijo un representante de la compañía a TechCrunch.
Ingenioso
Los compromisos de Authy y LastPass son los más preocupantes de las nuevas revelaciones. Authy dice que almacena tokens de autenticación de dos factores para 75 millones de usuarios. Dadas las contraseñas que el actor de amenazas ya obtuvo de infracciones anteriores, estos tokens pueden haber sido lo único que impidió la toma de control de varias cuentas. Authy dijo que el actor de amenazas usó su acceso para iniciar sesión en solo 93 cuentas individuales e inscribir nuevos dispositivos que podrían recibir contraseñas de un solo uso. Dependiendo de quién sea el propietario de estas cuentas, esto podría ser muy malo. Authy dijo que desde entonces eliminó dispositivos no autorizados de estas cuentas.
LastPass dijo que un actor malintencionado obtuvo acceso no autorizado a partes del entorno de desarrollo del administrador de contraseñas a través de una sola cuenta de desarrollador comprometida. A partir de ahí, el actor de amenazas "tomó partes del código fuente de LastPass y la información técnica patentada". LastPass dijo que las contraseñas maestras, las contraseñas encriptadas y otros datos almacenados en las cuentas de los clientes, así como la información personal de los clientes, no se vieron afectados. Si bien los datos de LastPass que se sabe que se obtienen no son particularmente confidenciales, cualquier infracción que involucre a un importante proveedor de gestión de contraseñas es grave, dada la gran cantidad de datos que almacena.
DoorDash también dijo que a un número no revelado de clientes les robaron sus nombres, direcciones de correo electrónico, direcciones de envío, números de teléfono y números de tarjetas de pago parciales por el mismo actor malicioso que algunos llaman Scatter Swine. El actor de amenazas obtuvo los nombres, números de teléfono y direcciones de correo electrónico de un número no revelado de contratistas de DoorDash.
Como ya se informó, el ataque inicial de phishing en Twilio estuvo bien planeado y ejecutado con precisión quirúrgica. Los actores de amenazas tenían números de teléfono de empleados privados, más de 169 dominios falsificados que imitaban a Okta y otros proveedores de seguridad, y la capacidad de eludir las protecciones 2FA que usaban contraseñas de un solo uso.
La capacidad del actor de amenazas para aprovechar los datos obtenidos de una infracción para lanzar ataques a la cadena de suministro contra los clientes de las víctimas, y su capacidad para pasar desapercibido desde marzo, demuestra su ingenio y habilidad. No es raro que las empresas que anuncian infracciones actualicen sus divulgaciones en días o semanas para incluir información adicional que se ha visto comprometida. No sorprenderá si una o más víctimas aquí hacen lo mismo.
Si hay una lección en todo este lío, es que no todas las 2FA son iguales. Las contraseñas de un solo uso enviadas por mensaje de texto o generadas por aplicaciones de autenticación son tan phishing como las contraseñas, y esto es lo que ha permitido a los piratas eludir esta última forma de defensa contra la usurpación de cuentas.
Expand
imágenes falsas
