Os hackers responsáveis por invadir o Twilio no começo de agosto comprometeram mais de 130 organizações e conseguiram acesso a credenciais de aproximadamente 10 mil funcionários.

O Twilio é um site que disponibiliza o envio de mensagens SMS e ligações por redes telefônicas. O recurso é utilizado por diversas empresas como Uber, Twitter e Airbnb. O ataque permitiu que os hackers tivessem acesso aos dados de 125 clientes e organizações da plataforma.

A empresa de segurança cibernética Group-IB diz que o ataque a rede é parte de uma grande campanha cibercriminosa, nomeada “0ktapus”. Segundo o TechCrunch, que teve acesso a informações da investigação pelo Group-IB, a maioria das empresas atacadas está em território norte-americano ou com funcionários nos EUA. A empresa alerta que a invasão fez com que pelo menos 9.931 credenciais de usuários fossem roubadas.

“Assim que localizamos uma cópia do kit de phishing, começamos a investigar mais a fundo para entender melhor a ameaça. A análise do kit de phishing revelou que ele estava mal configurado e a forma como foi desenvolvido permitiu extrair credenciais roubadas para análise posterior”, disse Roberto Martinez, analista sênior de inteligência de ameaças do Group-IB. 

NHS pode demorar até um mês para se recuperar dos ataques de hackers
Ataque hacker foi direcionado principalmente a organizações norte-americanas. (Imagem: Gorodenkoff/Shutterstock)

As empresas atacadas não foram divulgadas pelo Group-IB, mas afirmou que a lista inclui “organizações bem conhecidas” da área de TI, desenvolvimento de software e serviços de nuvem. Os dados analisados pelo TechCrunch mostraram que agentes de ameaças tiveram intenção de atacar 13 organizações do setor financeiro , sete grandes varejistas e duas empresas de games.

Campanha de phishing viola dados do Twilio

A invasão aconteceu no dia 4 de agosto e foi realizada com uma ação de enviar mensagens para trabalhadores do Twilio, solicitando que eles redefinissem suas senhas e informando sobre uma alteração em suas programações. 

As mensagens enviadas possuíam um link com palavras-chave, como, por exemplo: “Twilio”, “SSO” (logon único) e “Okta”, o nome do serviço de autenticação de cliente utilizado por diversas instituições. O link redirecionava os colaboradores para uma página igual a página de login do próprio Twilio, fazendo com que os criminosos roubassem os dados que os trabalhadores inseriram lá.

Assim que o Twilio soube do crime, sua equipe operou junto com as empresas de telefonia dos Estados Unidos para acabar com o esquema de SMS e também fez com que os sites de hospedagem na web derrubassem as páginas de login falsas. 

Imagem: rafapress/Shutterstock.com

Com informações de TechCrunch e The Verge