Twilio揭示了8月Hack背后的同一黑客的另一个违约行为

通信服务提供商Twilio本周透露，它在2022年6月经历了另一个”短暂的安全事件”，即8月黑客背后的同一威胁行为者，导致未经授权的客户信息泄露。

该安全事件发生在2022年6月29日，该公司在本周公布的最新咨询中表示，作为对数字闯入的调查的一部分。

 Twilio说，在6月的事件中，一名Twilio雇员通过语音网络钓鱼(或”网络钓鱼” )设计社交行为，以提供他们的证书，而恶意行为者能够为有限数量的客户访问客户联系信息。

该公司表示，成功攻击后获得的访问在12小时内被识别和挫败，并于2022年7月2日通知了受影响的客户。

这家位于旧金山的公司没有透露受6月事件影响的客户的确切数量，以及为什么披露是在发生4个月后披露的。第二次违约行为的细节来自Twilio指出，威胁行为者获得了209名客户的数据，从8月24日报告的163起增加到93名Authy用户。

提供个性化客户参与软件的Twilio拥有超过270000名客户，而其Authy双因素认证服务约有7500万用户。

 “我们的环境中最后一次观察到的未经授权的活动是在2022年8月9日，”它说，”没有证据表明恶意行为者访问了Twilio客户的控制台帐户凭据、认证令牌或API密钥”。

为了减轻未来的此类攻击，Twilio说，它正在向所有员工分发符合FIDO2的硬件安全密钥，在其VPN中实施额外的控制层，并对员工进行强制性的安全培训，以提高对社会工程攻击的认识。

针对Twilio的攻击被归咎于Group – IB和Okta跟踪的一个名为0ktapus和Scatter Swine的黑客集团，是针对软件、电信、金融和教育公司的更广泛的运动的一部分。

感染链包括识别雇员的手机号码，随后发送流氓短信或拨打这些号码诱骗他们点击假登录页面，并在网络内捕获输入的凭证进行后续侦察操作。

据估计，有多达136个组织成为袭击目标，其中一些组织包括Klaviyo、MailChimp、DigitalOcean、Signal、Okta以及针对Cloudflare的一次失败的袭击。