Gigante de mensajería de EE. UU. crepúsculo constitución que se vio afectada por una segunda violación en junio en la que los ciberdelincuentes accedieron a la información de contacto del cliente.

Confirmación de la segunda violación, realizada por los mismos piratas informáticos «0ktapus» que comprometió a Twilio nuevamente en agosto – fue enterrado en una actualización de un largo informe de incidente que Twilio concluyó el jueves.

Twilio dijo que el «breve incidente de seguridad», que ocurrió el 29 de junio, vio a los mismos atacantes diseñar socialmente a un empleado a través del phishing de voz, una táctica en la que los piratas informáticos hacen llamadas telefónicas fraudulentas haciéndose pasar por el departamento de TI de la empresa en un esfuerzo por engañar a los empleados para que entreguen información sensible. En este caso, el empleado de Twilio le consiguió sus credenciales corporativas, lo que le permitió al atacante acceder a la información de contacto del cliente para un «número limitado» de clientes.

“El acceso del actor de amenazas se identificó y erradicó en 12 horas”, dijo Twilio en su actualización, y agregó que los clientes cuya información se vio afectada por el incidente de junio fueron notificados el 2 de julio.

Cuando TechCrunch le preguntó, la portavoz de Twilio, Laurelle Remzi, se negó a confirmar el número exacto de clientes afectados por la infracción de junio y se negó a compartir una copia del aviso que la empresa afirma haber enviado a los afectados. Remzi también se niega a decir por qué Twilio acaba de revelar el incidente.

Twilio también contuvo en su actualización que los piratas informáticos detrás de la brecha de agosto accedieron a los datos de 209 clientes, un aumento de los 163 clientes que compartieron el 24 de agosto. Twilio no nombró a ninguno de sus clientes afectados, pero algunos: como la aplicación de mensajería encriptada Signal — han notificado a los usuarios que se vieron afectados por la infracción de Twilio. Los atacantes también comprometieron las cuentas de 93 usuarios de Authy La aplicación de autenticación de dos factores de Twilio que adquirió en 2015.

«No hay evidencia de que los actores malintencionados hayan accedido a las credenciales de la cuenta de la consola de los clientes de Twilio, tokens de autenticación o claves API», dijo Twilio sobre los atacantes, que mantuvieron el acceso al entorno interno de Twilio durante dos días entre el 7 y el 9 de agosto. confirmado.

La brecha de Twilio es parte de una campaña más amplia de un actor de amenazas rastreado como «0ktapus», que se dirigió a al menos 130 organizaciones, incluidas Mailchimp y Cloudflare. Pero Cloudflare dijo que los atacantes no lograron dañar su red después de que sus intentos bloqueados por claves de seguridad de hardware resistentes al phishing.

Como parte de sus esfuerzos para mitigar la de ataques similares en el futuro, Twilio ha anunciado que también implementará claves de seguridad de hardware para todos los empleados. Twilio se negó a comentar sobre su cronograma de implementación. La compañía dice que también planea implementar capas adicionales de control dentro de su VPN, eliminar y limitar ciertas funciones dentro de herramientas administrativas específicas y aumentar la frecuencia de actualización de tokens para aplicaciones integradas con Okta.