Twilio-Einbruch: Analyse fördert weiteren Sicherheitsvorfall zutage
Bei der Analyse der Angriffe im August dieses Jahres ist Twilio jetzt auf einen weiteren Einbruch gestoßen. Betroffene Kunden wurden bereits informiert.
(Bild: Tero Vesalainen/Shutterstock.com)
Der Diensteanbieter Twilio hat die erfolgreichen Phishing-Angriffe gegen Mitarbeiter im August dieses Jahres untersucht und nun Ergebnisse veröffentlicht. Demzufolge kam es bereits im Juni zu einem ersten Sicherheitsvorfall gleicher Art.
Twilio bietet Cloud-Dienst an, die andere Unternehmen zur Verifikation nutzen können. Dazu gehört das automatisierte Senden und Empfangen von SMS, von Telefongesprächen sowie Chats. Zu den Kunden gehören Größen wie Airbnb, Salesforce oder Uber, die damit Mehr-Faktor-Authentifizierung anbieten können.
Angreifer konnten auf Kundendaten zugreifen
Im August dieses Jahres war es Angreifern gelungen, mit massiven Phishing-Angriffen gegen Twilio-Mitarbeiter an Zugangsdaten zu den Twilio-Systemen zu gelangen. Diese Zugangsdaten haben die bösartigen Akteure genutzt, um auf interne Systeme des Unternehmens zuzugreifen und dabei an Kundendaten zu gelangen.
Dabei haben sie beispielweise die Telefonnummern von 1900 Signal-Nutzern und dazugehörige Verifikationsnummern einsehen und daraus die Information ableiten können, dass diese Nummern zur Registrierung eines Signal-Kontos genutzt wurden.
Dabei blieb es jedoch nicht, sondern es konnten solche Konten auf eine neue Nummer und somit ein anderes Smartphone erneut registriert werden. Die Angreifer haben dabei nach drei konkreten Nummern gesucht; bei mindestens einem Nutzer fand so eine Konto-Übernahme tatsächlich statt.
Dieselben bösartigen Akteure
Wie Twilio nun in den Schlussfolgerungen aus der Untersuchung schreibt, seien dieselben bösartigen Akteure höchstwahrscheinlich verantwortlich für einen "kurzen Sicherheitsvorfall", der sich am 29. Juni dieses Jahres ereignete. Dabei wurde ein Twilio-Mitarbeiter mit Voice-Phishing (Vishing) "socially engineered", um seine Zugangsdaten preiszugeben. Die Angreifer haben also mit einem Telefongespräch versucht, die Daten anzugreifen.
Dies gelang und die Cyberkriminellen konnten auf Kontaktinformationen von Kunden zugreifen – immerhin, jedoch nicht näher erläutert, auf eine begrenzte Anzahl. Die illegalen Zugriffe der Angreifer wurden erkannt und innerhalb von zwölf Stunden abgeriegelt, führt Twilio weiter aus. Die von dem Vorfall betroffenen Kunden wurden am 02. Juli dieses Jahres von dem Vorfall informiert.
(dmk)
