Il mese scorso Retool, un’azienda specializzata nello sviluppo di applicazioni aziendali per i clienti, è stata vittima di un attacco informatico. 27 clienti cloud dell’azienda sono rimasti vittime dell’hacking.
La piattaforma di sviluppo di Retool viene utilizzata per creare software aziendale da aziende che vanno dalle startup alle imprese Fortune 500, tra cui Amazon, Mercedes-Benz, DoorDash, NBC, Stripe e Lyft.
L’hacker ha iniziato il suo attacco inviando SMS a diversi dipendenti di Retool fingendosi membri del team IT, presumibilmente risolvendo problemi con il libro paga e l’assicurazione sanitaria. La maggior parte dei destinatari ha ignorato il messaggio di phishing, ad eccezione di un dipendente.
 Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Il dipendente ha quindi cliccato sul link che reindirizzava verso a un portale di accesso falso con un modulo di autenticazione a più fattori (MFA) al quale ha fatto l’accesso.
Una volta acquisite le credenziali di accesso, l’aggressore ha effettuato un deepfake emulando la voce di un dipendente e ha chiamato il membro del team IT preso di mira, inducendolo a fornire un codice MFA aggiuntivo, che ha consentito l’aggiunta di un dispositivo controllato dall’aggressore all’account Okta del dipendente preso di mira.
Questo incidente indica che l’aggressore potrebbe aver già parzialmente ottenuto l’accesso alle risorse Retool prima di questa chiamata. Dopo aver ricevuto il codice di autenticazione a due fattori, l’aggressore ha aggiunto il suo dispositivo all’account del dipendente e ha ottenuto l’accesso al suo account GSuite.
Ciò che è particolarmente pericoloso è che l’app Google Authenticator ha recentemente aggiunto una funzionalità di sincronizzazione cloud. Ciò significa che ora i codici MFA possono essere visualizzati su più dispositivi associati a un account.
Retool ha sottolineato la gravità del problema: “Se il tuo account Google è compromesso, anche i tuoi codici MFA sono a rischio.” Secondo l’azienda è stato l’accesso all’account Google a consentire all’aggressore di penetrare nei sistemi interni dell’azienda.
Retool aveva già negato l’accesso all’hacker, ma ha deciso di divulgare le informazioni sull’accaduto per avvisare altre aziende.
Hanno inoltre invitato Google a modificare la propria app di autenticazione in modo che le aziende possano facilmente disattivare la funzionalità di sincronizzazione cloud per i propri dipendenti. Google non ha ancora commentato questa situazione.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Diritti
Cybercrime
Cybercrime
Cybercrime
Cybercrime