8月31日消息(劉文軒)云端通訊平臺(tái)Twilio在8月7日坦承遭到黑客入侵,黑客通過釣魚短信取得了Twilio員工的登陸憑證,并竊取了客戶數(shù)據(jù),而采用Twilio服務(wù)進(jìn)行電話號碼認(rèn)證的Signal則表示,約有1900名用戶受到Twilio黑客事件的波及。不過事件并沒有到此為止,繼Signal之后,另一個(gè)被Twilio黑客事件殃及的受害者,專門提供身份認(rèn)證與存取管理服務(wù)的Okta指出,黑客盜走了Twilio員工的憑證,用以存取了Okta客戶的電話號碼,以及通過Twilio服務(wù)傳送的一次性密碼。
Twilio提供工具予客戶撥打或接收電話與文字短信,并有各種可執(zhí)行其它通訊功能的API,而Okta則是美國的身份與存取管理公司,協(xié)助企業(yè)管理用來進(jìn)入各種應(yīng)用程序的身份認(rèn)證。
根據(jù)Okta的說法,該公司有各種認(rèn)證機(jī)制供客戶選擇,包括以短信來遞送一次性密碼,并借由兩家第三方服務(wù)來提供短信身份驗(yàn)證服務(wù),Twilio即為其中一家。而在Twilio員工的憑證遭駭之后,調(diào)查發(fā)現(xiàn)黑客通過Twilio控制臺(tái)存取了Okta的客戶服務(wù),有小部分Okta用戶的電話號碼,以及包含一次密碼的短信遭到黑客存取。
Okta進(jìn)一步分析了黑客的足跡與受影響的用戶,顯示黑客通過Twilio控制臺(tái)搜索了38組電話,而它們幾乎都隸屬于同一個(gè)組織,意味著這是個(gè)極有針對性的攻擊。 Okta推測,黑客應(yīng)該事先就通過其它的釣魚活動(dòng)取得了這些用戶的登陸憑證,并觸發(fā)了基于短信的多因素認(rèn)證,企圖借由入侵Twilio系統(tǒng)找到相關(guān)的一次性密碼。而該一次性密碼的有效期間為5分鐘。
盡管黑客也存取了其它的Okta用戶電話信息,但Okta相信上述組織才是黑客的目標(biāo),其它的數(shù)據(jù)只是意外。
Okta還揭露了另一件事,指出這起以短信釣魚攻擊Twilio的黑客集團(tuán)在最近幾個(gè)月不斷地攻擊各多家科技企業(yè),包括Okta在內(nèi),且Okta也已將這個(gè)黑客集團(tuán)命名為Scatter Swine。Okta表示,Scatter Swine通常會(huì)建立多個(gè)釣魚網(wǎng)站,在幾個(gè)小時(shí)內(nèi)重復(fù)鎖定同一個(gè)組織發(fā)動(dòng)攻擊。
Cloudflare也曾披露遭短信釣魚攻擊,雖未證實(shí)是否為同一集團(tuán)所為,但Cloudflare因全公司都采用實(shí)體密鑰而未被黑客得逞,至于Okta則說該公司是借由強(qiáng)大的認(rèn)證政策,阻止黑客存取員工帳號,并保護(hù)了應(yīng)用程序的存取安全。
根據(jù)Twilio此前公布的統(tǒng)計(jì)信息,已經(jīng)有163個(gè)客戶的資料曾遭黑客存取,且黑客也存取了93名Authy用戶的帳號,并于相關(guān)帳號中注冊了額外的設(shè)備。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 特斯拉CEO馬斯克身家暴漲,穩(wěn)居全球首富寶座
- 阿里巴巴擬發(fā)行 26.5 億美元和 170 億人民幣債券
- 騰訊音樂Q3持續(xù)穩(wěn)健增長:總收入70.2億元,付費(fèi)用戶數(shù)1.19億
- 蘋果Q4營收949億美元同比增6%,在華營收微降
- 三星電子Q3營收79萬億韓元,營業(yè)利潤受一次性成本影響下滑
- 賽力斯已向華為支付23億,購買引望10%股權(quán)
- 格力電器三季度營收同比降超15%,凈利潤逆勢增長
- 合合信息2024年前三季度業(yè)績穩(wěn)?。籂I收增長超21%,凈利潤增長超11%
- 臺(tái)積電四季度營收有望再攀高峰,預(yù)計(jì)超260億美元刷新紀(jì)錄
- 韓國三星電子決定退出LED業(yè)務(wù),市值蒸發(fā)超4600億元
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。