Twilio揭示了八月黑客背后来自相同黑客的另一个漏洞

通信服务提供商Twilio公司本周披露，该公司在2022年6月经历了另一次“短暂安全事件”，该事件由8月黑客事件背后的同一威胁行为人实施，导致未经授权访问客户信息。

该公司在本周分享的最新咨询中表示，安全事件发生在2022年6月29日，这是其对数字入侵调查的一部分。

“在6月份的事件中，Twilio的一名员工通过语音网络钓鱼（或“vishing”）进行了社交工程，以提供他们的凭据，而恶意行为者能够访问有限数量客户的客户联系信息，”Twilio说。

该公司还表示，成功攻击后获得的访问权限在12小时内被识别并被阻止，并于2022年7月2日通知了受影响的客户。

这家总部位于旧金山的公司没有透露6月份事件影响的确切客户数量，也没有透露为什么在事件发生四个月后才进行披露。第二次泄密的详细信息是在Twilio注意到，威胁参与者访问了209名客户的数据，高于8月24日报告的163名客户和93名Authy用户。

提供个性化客户互动软件的Twilio拥有超过270000名客户，而其Authy双因素认证服务拥有大约7500万总用户。

“在我们的环境中观察到的最后一次未经授权的活动是在2022年8月9日，”它说，并补充道，“没有证据表明恶意参与者访问了Twilio客户的控制台帐户凭据、身份验证令牌或API密钥”。

为了减轻未来的此类攻击，Twilio表示将向所有员工分发符合FIDO2的硬件安全密钥，在其VPN中实施额外的控制层，并对员工进行强制性安全培训，以提高对社会工程攻击的认识。

针对Twilio的攻击被归因于IB集团和Okta以0ktapus和Scatter Swine为名追踪的一个黑客组织，这是针对软件、电信、金融和教育公司的更广泛运动的一部分。

感染链需要识别员工的手机号码，然后发送恶意短信或拨打这些号码，诱骗他们点击虚假登录页面，并获取输入的凭据，以便在网络内进行后续侦察行动。

据估计，多达136个组织成为攻击目标，其中包括Klaviyo、MailChimp、DigitalOcean、Signal、Okta，以及一次针对Cloudflare的失败攻击。