Ataque da Twilio pode ter sido mais grave do que o originalmente previsto
No início do mês, a empresa Twilio confirmou ter sido vítima de um novo ataque, onde terão sido usados dados roubados de funcionários da entidade para aceder aos sistemas internos da mesma. E agora, conforme a investigação ao incidente também avança, são conhecidos mais detalhes sobre a situação.
De acordo com a empresa de segurança Group-IB, em entrevista ao portal TechCrunch, o ataque à Twilio pode ter sido mais alargado do que o inicialmente previsto. Os investigadores apontam que existe a possibilidade de o grupo de atacantes ter permanecido com acesso aos sistemas internos durante bastante tempo.
O ataque terá afetado cerca de 125 empresas que usam os sistemas da Twilio, entre as quais se encontra a empresa Signal, responsável pela aplicação de conversas privadas sobre o mesmo nome.
O ataque acredita-se ter sido realizado por um grupo conhecido como “0ktapus”, e a maioria das empresas afetadas encontram-se localizadas nos EUA ou possuem algum género de presença no pais.
Os investigadores acreditam ainda que 9931 dados de credenciais de utilizadores podem ter sido comprometidos no ataque, com uma grande maioria a incluir também códigos de autenticação para sistemas de autenticação em duas etapas.
As empresas eram muitas vezes alvo de esquemas de phishing pelos atacantes, que usavam os dados da Twilio para tentar obter mais detalhes das contas de outras entidades. Acredita-se ainda que as informações roubadas estariam a ser enviadas diretamente para um bot no Telegram, que estaria sobre o controlo dos atacantes e onde todos os dados de login e informações importantes eram colocados.
Um dos gestores deste bot no Telegram é conhecido apenas pelo nome de “X”, embora os investigadores tenham conseguido identificar a sua conta do Twitter e do Github, com indícios de que o mesmo se encontra localizado nos EUA. De notar que a empresa Cloudflare também já tinha confirmado que os atacantes poderiam ter usado o Telegram para recolher os dados de login.
Para já não foram revelados os nomes das empresas que podem ter sido afetadas pelo ataque, mas a empresa afirma que existem nomes de grandes entidades a nível mundial, a maioria relacionada com o fornecimento de serviços técnicos, financeiros e até do mercado dos videojogos.