El proveedor de herramientas de comunicación Twilio ha revelado que los mismos actores maliciosos responsables de una brecha en julio en la firma también lograron comprometer a un empleado un mes antes, exponiendo información de clientes.
La revelación fue enterrada en un largo informe de incidentes actualizado.
El informe se centra principalmente en el incidente de julio-agosto en el que los atacantes enviaron cientos de mensajes de texto “smishing” a los teléfonos móviles de los empleados actuales y antiguos de Twilio.
Haciéndose pasar por administradores de Twilio u otros administradores de TI, engañaron a algunos destinatarios para que hicieran clic en enlaces de restablecimiento de contraseñas que conducían a páginas falsas de inicio de sesión en Okta para Twilio.
Una vez obtenidas, estas credenciales se utilizaban para acceder a las herramientas administrativas y aplicaciones internas de Twilio y, a su vez, a la información de los clientes.
Sin embargo, los mismos actores también fueron responsables de otro intento de phishing, esta vez llevado a cabo por teléfono, reveló el informe.
Un total de 209 clientes y 93 usuarios finales de Authy se vieron afectados por los incidentes, según Twilio.
Los ataques fueron rastreados por los investigadores a una campaña más amplia por el actor de la amenaza “0ktapus” que utilizó técnicas de phishing similares contra los empleados de otras organizaciones, incluyendo Cloudflare.
El incidente pone de manifiesto tanto la persistente amenaza de la ingeniería social para los usuarios finales de las empresas como el creciente interés de los actores de las amenazas por comprometer a los proveedores de tecnología estratégicos más arriba en la cadena de suministro.