imágenes falsas
Las consecuencias de la violación de este mes del proveedor de seguridad Twilio siguen llegando. Tres nuevas empresas, el servicio de autenticación Authy, el administrador de contraseñas LastPass y el servicio de entrega de alimentos DoorDash, dijeron en los últimos días que el compromiso de Twilio llevó a que fueran pirateados.
Las tres compañías se unen al servicio de autenticación Okta y al proveedor de mensajería segura Signal en el dudoso club de clientes de Twilio que se sabe que fueron violados en ataques de seguimiento que aprovecharon los datos obtenidos por los intrusos. En total, la empresa de seguridad Group-IB dijo el jueves que al menos 136 empresas fueron pirateadas de manera similar, por lo que es probable que se anuncien muchas más víctimas en los próximos días y semanas.
Extraordinariamente ingenioso
Los compromisos de Authy y LastPass son los más preocupantes de las nuevas revelaciones. Authy dice que almacena tokens de autenticación de dos factores para 75 millones de usuarios. Dadas las contraseñas que el actor de amenazas ya obtuvo en infracciones anteriores, estos tokens pueden haber sido lo único que impidió la toma de control de más cuentas. Authy, propiedad de Twilio, dijo que el actor de amenazas usó su acceso para iniciar sesión en solo 93 cuentas individuales e inscribir nuevos dispositivos que podrían recibir contraseñas de un solo uso. Dependiendo de a quién pertenezcan esas cuentas, eso podría ser muy malo. Authy dijo que desde entonces ha eliminado dispositivos no autorizados de esas cuentas.
LastPass dijo que el mismo actor de amenazas usó datos tomados de Twilio para obtener acceso no autorizado a través de una sola cuenta de desarrollador comprometida a partes del entorno de desarrollo del administrador de contraseñas. A partir de ahí, los phishers “tomaron partes del código fuente y alguna información técnica patentada de LastPass”. LastPass dijo que las contraseñas maestras, las contraseñas encriptadas y otros datos almacenados en las cuentas de los clientes y la información personal de los clientes no se vieron afectados. Si bien los datos de LastPass que se sabe que se obtienen no son especialmente sensibles, cualquier violación que involucre a un importante proveedor de administración de contraseñas es grave, dada la gran cantidad de datos que almacena.
DoorDash también dijo que un número no revelado de clientes tenían sus nombres, direcciones de correo electrónico, direcciones de entrega, números de teléfono y números de tarjetas de pago parciales robados por el mismo actor de amenazas. El actor de amenazas obtuvo nombres, números de teléfono y direcciones de correo electrónico de un número no revelado de contratistas de DoorDash.
Como ya se informó, el ataque inicial de phishing en Twilio estuvo bien planeado y ejecutado con precisión quirúrgica. Los actores de amenazas tenían números de teléfono privados de empleados, más de 169 dominios falsificados que imitaban a Okta y otros proveedores de seguridad, y la capacidad de eludir las protecciones 2FA que usaban contraseñas de un solo uso.
La capacidad del actor de amenazas para aprovechar los datos obtenidos en una infracción para realizar ataques en la cadena de suministro contra los clientes de las víctimas, y su capacidad para permanecer sin ser detectado desde marzo, demuestra su ingenio y habilidad. No es raro que las empresas que anuncian infracciones actualicen sus divulgaciones en los días o semanas siguientes para incluir información adicional que se vio comprometida. No será sorprendente si una o más víctimas aquí hacen lo mismo.
Si hay una lección en todo este lío, es que no todos los 2FA son iguales. Las contraseñas de un solo uso enviadas por SMS o generadas por aplicaciones de autenticación son tan phishing como las contraseñas, y eso es lo que permitió a los actores de amenazas eludir esta última forma de defensa contra la apropiación de cuentas.
Una empresa que fue atacada pero no fue víctima fue Cloudflare. La razón: los empleados de Cloudflare confiaron en 2FA que usaba claves físicas como Yubikeys, que no pueden ser suplantadas de identidad. Las empresas que vociferan el cansino mantra de que se toman en serio la seguridad no deberían tomarse en serio a menos que la 2FA basada en claves físicas sea un elemento básico de su higiene digital.