125 Pelanggan Terpengaruh Pelanggaran Data yang Menimpa Twilio

Cyberthreath.id – Perusahaan komunikasi cloud Twilio,mengungkapkan bahwa pihaknya telah telah mengidentifikasi 125 pelanggan yang datanya diakses dalam pelanggaran keamanan ditemukan minggu lalu.

“Kami telah mengidentifikasi sekitar 125 pelanggan Twilio yang datanya diakses oleh aktor jahat untuk jangka waktu terbatas, dan kami telah memberi tahu mereka semua,” kata Twilio dalam sebuah pernyataan, sesuai yang dikutip dari Bleeping Computer Sabtu (13 Agustus 2022).

Twilio mengatakan, penyerang di balik insiden ini tidak dapat memperoleh akses ke informasi otentikasi klien yang terpengaruh. Hal tersebut dikarenakan pihaknya tidak menemukan bukti bahwa kata sandi pelanggan, token otentikasi, atau kunci API diakses tanpa otorisasi.

Perusahaan mengatakan, untuk mengatasi masalah tersebut, pihaknya telah pihaknya mengoordinasikan permintaan penghapusan akun dengan perusahaan teknologi lain yang juga menjadi sasaran serangan serupa.

Perusahaan pun telah meminta beberapa operator seluler AS untuk menutup akun yang digunakan untuk mengirim pesan phishing, tetapi pelaku ancaman beralih ke akun baru dan melanjutkan serangan mereka.

Seperti diketahui, pada Kamis (4 Agustus 2022), Twilio mengungkapkan pihaknya telah mengetahui akses tidak sah ke informasi terkait dengan sejumlah akun pelanggan Twilio melalui serangan rekayasa sosial yang dirancang untuk mencuri kredensial karyawan.

penyerang memperoleh akses ke sistemnya setelah menipu dan mencuri kredensial dari beberapa karyawan yang ditargetkan dalam insiden phishing. Untuk melakukan itu, para penyerang meniru departemen TI Twilio, meminta mereka untuk mengklik URL yang berisi kata kunci "Twilio," "Okta," dan "SSO" yang akan mengarahkan mereka ke klon halaman masuk Twilio.

Pesan Smishing memancing karyawan Twilio untuk mengklik tautan yang disematkan dengan memperingatkan mereka bahwa kata sandi mereka telah kedaluwarsa atau dijadwalkan untuk diubah. Namun, ketika disinggung tentang berapa banyak karyawan yang akun mereka disusupi dalam serangan phishing dan berapa banyak pelanggan yang terpengaruh oleh pelanggaran tersebut, Twilio enggan menjawabnya.

Selain Twilio, Cloudflare juga mengalami serangan smishing seperti yang di alami oleh Twilio. Meski penyerang berhasil mencuri kredensial beberapa karyawan Cloudflare, tetapi para penyerang mereka gagal menembus sistemnya. Upaya mereka untuk masuk menggunakan akun tersebut diblokir karena mereka tidak memiliki akses ke kunci keamanan yang sesuai dengan FIDO2 yang dikeluarkan Cloudflare untuk para karyawannya.

Pesan phishing yang dikirim ke 76 karyawan dan keluarga mereka dari nomor telepon T-Mobile mengarahkan target ke klon halaman login Cloudflare Okta yang dihosting di domain cloudflare-okta[.]com. Domain ini didaftarkan melalui pendaftar domain Porkbun, juga digunakan untuk mendaftarkan domain web yang digunakan untuk meng-host halaman arahan yang terlihat dalam serangan Twilio.

Perusahaan pun mengambil beberapa tindakan dalam menanggapi serangan ini. Seperti memblokir domain phishing menggunakan Cloudflare Gateway, mengidentifikasi semua karyawan Cloudflare yang terkena dampak dan menyetel ulang kredensial yang disusupi, mengidentifikasi dan menghapus infrastruktur pelaku ancaman. Mereka juga memperbaharui deteksi untuk mengidentifikasi upaya serangan berikutnya. Serta mengaudit log akses layanan untuk indikasi serangan tambahan.