Authy 2FA-accounts gekaapt bij aanval op Twilio
Bij de aanval op cloudcommunicatieplatform Twilio zijn ook tweefactorauthenticatie (2FA) accounts van Authy-gebruikers gekaapt en hebben de aanvallers hun eigen apparaten aan deze accounts toegevoegd. Daarnaast zijn er meer Twilio-klanten getroffen dan in eerste instantie werd gemeld, zo laat het bedrijf in een update over de aanval weten.
Twilio biedt verschillende tools voor telefonie, het versturen van sms-berichten en andere communicatie. Het bedrijf claimt meer dan 270.000 actieve klanten te hebben. Begin augustus meldde Twilio dat aanvallers toegang tot interne systemen en klantgegevens hadden gekregen nadat personeel in een phishingaanval was getrapt. In eerste instantie werd gemeld dat de aanvallers toegang tot de gegevens van 125 klanten hadden gekregen. Het ging onder andere om versleutelde chatapp Signal, waar de aanvallers vervolgens van 1900 gebruikers de telefoonnummers en registratiecodes buitmaakten.
Nu meldt Twilio dat het om 163 gebruikers gaat. Daarnaast zijn ook gebruikers van 2FA-app Authy getroffen. Authy is een app die gebruikers 2FA-codes laat genereren voor het inloggen op accounts en is onderdeel van Twilio. Gebruikers kunnen via hun Authy-account hun gegevens op de servers van Authy opslaan en meerdere apparaten synchroniseren. Volgens Twilio maken 75 miljoen mensen gebruik van de 2FA-app.
De aanvallers die toegang tot de systemen van Twilio wisten te krijgen hebben vervolgens 93 Authy 2FA-accounts gekaapt en daar hun eigen apparaten aan toegevoegd. Wanneer de aanvallers ook over de inloggegevens van deze gebruikers beschikten zouden ze zo op andere accounts beveiligd met 2FA kunnen inloggen. Twilio zegt getroffen gebruikers te zullen waarschuwen en heeft de toegevoegde apparaten verwijderd. Eerder werd bekend dat de aanval op Twilio onderdeel van een wereldwijde phishingaanval is.
Denk er eens over na.
Denk er eens over na.
Denk er eens over na.
als er een shared-secret is, ja dan is het fundamenteel een 1 FA op precies dat moment dat die shared-secret over een en hetzelfde kanaal gaat. pas als de shared secret via een ander kanaal opgezet wordt (of via een DH-key exchange oid waarbij in transit niet voldoende info beschikbaar is om de shared secret bij de twee end-points te bepalen) dan wordt het een echte 2FA (aangenomen dat die shared secret niet gelekt wordt door een bug in OS/app van device/server oid ook). maar da's allemaal ingewikkeld en lastig enzo...
dus nu doen we alsof we 2FA hebben op een klunky way, laten mensen extra handelingen telkens uitvoeren bij inloggen (gebruikersgemak inleveren) en toch worden er dan nog steeds accounts powned (geen echte extra beveiliging).
vooruitgang noemt men dat: let op als mensen woorden gebruiken als 'niet meer van deze tijd' enzo!
https://www.bleepingcomputer.com/news/security/devious-phishing-method-bypasses-mfa-using-remote-access-software/
https://www.bleepingcomputer.com/news/security/android-malware-escobar-steals-your-google-authenticator-mfa-codes/
https://www.bleepingcomputer.com/news/security/microsoft-phishing-bypassed-mfa-in-attacks-against-10-000-orgs/
https://www.bleepingcomputer.com/news/security/new-windows-subsystem-for-linux-malware-steals-browser-auth-cookies/
https://www.bleepingcomputer.com/news/security/google-youtubers-accounts-hijacked-with-cookie-stealing-malware/
https://www.bleepingcomputer.com/news/security/phishing-attack-hijacks-office-365-accounts-using-oauth-apps/
https://www.bleepingcomputer.com/news/security/microsoft-scammers-bypass-office-365-mfa-in-bec-attacks/
vrij recentelijk die laatste ook nog:
https://www.theregister.com/2022/08/25/microsoft_365_bec/
https://www.mitiga.io/blog/persistent-mfa-circumvention-in-an-advanced-bec-campaign-on-microsoft-365-targets
"makkelijker kunnen we het niet maken..."
enzv enzv enzv
Ik ken niet precies de situatie van de 2FA accounts die zijn gekaapt.
Precies zoals 14:35 de voorstelling maakt. Als je alleen met de gekaapte 2FA accounts ergens toegang kan krijgen, dan is het in wezen een 1FA account.
Als het anders is dan is er met de gkaapte accounts hoeganaamd niets aan de hand (je mag dan nog wel vraagtekens stellen tav Twilio).
Overigens heb ik een wat fundamentelere opvatting over 2FA. In mijn opvatting is er sprake van 2FA als een combinatie van twee bestaat
1. wat weet je
2. wat heb je (bijv een token; kan ook een telefoon zijn, maar een sms code kan wel eens te weinig zekerheid bieden)
3. wat (wie) ben je (deze acht ik minder geschikt, maar toch)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
