Представители компании Twilio, занимающейся разработкой и предоставлением облачных PaaS-услуг, сообщили, что неизвестные злоумышленники получили доступ к данным некоторых ее клиентов. Ради этого злоумышленники похитили учетные данных сотрудников компании, устроив на них фишинговую атаку через SMS.
«4 августа 2022 года Twilio обнаружила несанкционированный доступ к информации, связанной с ограниченным количеством учетных записей клиентов. Атака была осуществлена с помощью изощренной социальной инженерии, направленной на кражу учетных данных наших сотрудников, — гласит официальное заявление компании. — Злоумышленники использовали украденные учетные данные, чтобы получить доступ к некоторым из наших внутренних систем, где смогли получить доступ к определенной информации клиентов».
Известно, что в рамках фишинговой атаки на сотрудников Twilio хакеры выдавали себя за представителей ИТ-отдела компании. В своих SMS-сообщениях они просили людей перейти по ссылкам, содержащим такие ключевые слова, как Twilio, Okta и SSO, после чего жертвы попадали на фейковую страницу входа в Twilio. Перейти по вредоносным ссылкам людей убеждали предупреждениями о том, что действие их паролей якобы истекло или их пора изменить по плану, так как они устарели.
При этом в Twilio отказались дать комментарии и раскрыть дополнительную информацию об инциденте, не ответив на вопросы СМИ о том, сколько сотрудников были скомпрометированы и сколько клиентов в итоге пострадали от этого взлома. Стоит отметить, что у Twilio насчитывается 26 офисов в 17 странах мира, где работают более 5000 человек.
«SMS-сообщения исходили из сетей операторов связи США. Мы сотрудничали с операторами связи, чтобы заблокировать атакующих, а также с хостинг-провайдерами, обслуживающими вредоносные URL-адреса, чтобы закрыть эти учетные записи, — добавляют в компании. — Нам известно, что другие компании тоже подверглись подобным атакам, и мы координировали с ними ответ атакующим, включая сотрудничество с операторами связи, чтобы остановить распространение вредоносных сообщений, а также с регистраторами и хостинг-провайдерами, чтобы блокировать вредоносные URL-адреса. Несмотря на эти ответные меры, злоумышленники продолжают менять операторов связи и хостинг-провайдеров, чтобы возобновить атаки».
Сообщается, что в настоящее время идет расследование случившегося, к которому уже привлечены правоохранительные органы.
Сразу после обнаружения атаки Twilio аннулировала скомпрометированные учетные записи сотрудников, чтобы блокировать хакерам доступ к своим системам, и начала уведомлять клиентов, пострадавших от этого инцидента. Подчеркивается, что атакующие получили доступ к «ограниченному количеству» данных, поэтому пострадавших клиентов уведомляют в индивидуальном порядке.
