Pelanggaran Twilio Memungkinkan Peretas Melihat Kata Sandi Dari Okta

Cyberthreat.id – Pelaku ancaman di balik peretasan Twilio menggunakan akses mereka untuk mencuri kata sandi satu kali (OTP) yang dikirimkan melalui SMS dari pelanggan perusahaan manajemen akses dan identitas, Okta.

Dikutip dari Bleeping Computer, dengan menggunakan akses ke konsol Twilio, pelaku ancaman bisa melihat nomor ponsel dan OTP milik pelanggan Okta.

Sebelumnya, pada tanggal 4 Agustus, perusahaan komunikasi cloud Twilio menemukan bahwa pihak yang tidak berwenang memperoleh akses ke sistem dan informasi milik pelanggannya. Saat itu, salah satu layanan yang digunakan Okta untuk pelanggan yang memilih SMS sebagai faktor autentikasi yang disediakan oleh Twilio di manfaatkan oleh peretas.

Pada 8 Agustus, Okta mengetahui bahwa peretasan Twilio mengekspos data tidak ditentukan yang relevan dengan Okta dan mulai mengarahkan komunikasi berbasis SMS melalui penyedia yang berbeda. Dengan menggunakan log sistem internal dari tim keamanan Twilio, Okta dapat menentukan bahwa pelaku ancaman memiliki akses ke nomor telepon dan kode OTP milik pelanggannya.

“Dengan menggunakan log ini, analisis Operasi Siber Defensif Okta menetapkan bahwa dua kategori nomor ponsel yang relevan dengan Okta dan kata sandi satu kali dapat dilihat selama penyerang memiliki akses ke konsol Twilio,” kata Okta.

Ketika berbicara tentang aktivitas pelaku ancaman di konsol Twilio mengenai pelanggannya, Okta membedakan antara nomor telepon yang "tertarget" dan "terpapar insidental". Perusahaan mengatakan bahwa penyusup mencari 38 nomor telepon, hampir semuanya terkait dengan satu organisasi, menunjukkan minat untuk mendapatkan akses ke jaringan klien itu.

“Kami menilai bahwa pelaku ancaman menggunakan kredensial (nama pengguna dan kata sandi) yang sebelumnya dicuri dalam kampanye phishing untuk memicu tantangan MFA berbasis SMS, dan menggunakan akses ke sistem Twilio untuk mencari Kata Sandi Satu Kali yang dikirim dalam serangan tersebut,” kata Okta.

Pelaku pengancam mencari 38 nomor telepon terkait Okta menggunakan portal administratif Twilio, yang menunjukkan 50 pesan terbaru yang dikirimkan melalui akun Twilio Okta. Ini berarti peretas dapat melihat lebih banyak nomor telepon. Namun, penyelidikan Okta mengungkapkan bahwa penyusup tidak menggunakan nomor ponsel tersebut.

Pembaruan dari Twilio awal pekan ini mengungkapkan bahwa peretas mengakses akun Authy 2FA dan mendaftarkan perangkat mereka untuk mendapatkan token sementara.

Bertahan dari serangan rekayasa sosial yang rumit dan menargetkan kode 2FA tidaklah mudah. Rekomendasi umum adalah memperhatikan indikator email dan situs phishing yang mencurigakan. Pakar keamanan juga menyarankan untuk menggunakan kunci keamanan yang sesuai dengan FIDO (U2F).

Menerapkan kebijakan autentikasi untuk membatasi akses pengguna berdasarkan prasyarat yang disesuaikan untuk pelanggan bersama dengan peringatan ketika proses masuk pengguna menyimpang dari pola yang direkam sebelumnya juga dapat mengindikasikan upaya jahat.

Selain itu, Okta menyarankan agar menggunakan Zona Jaringan untuk menolak atau melakukan autentikasi tingkat lanjut atas permintaan dari jaringan yang jarang digunakan dan menganonimkan proxy Pengguna juga harys membatasi akses ke aplikasi hanya untuk perangkat terdaftar atau perangkat yang dikelola oleh alat manajemen titik akhir

“Batasi akses ke aplikasi dan data paling sensitif menggunakan kebijakan autentikasi khusus aplikasi,” kata Okta.

Untuk pelanggan yang ingin mencari peristiwa SMS Scatter Swine (misalnya tantangan autentikasi, penyetelan ulang sandi, atau peristiwa pendaftaran faktor), Okta telah menyediakan kueri log sistem yang mengungkapkan perangkat baru dan lokasi jaringan untuk pengguna tertentu.