Pour une société spécialisée dans les technologies de l’information, le fait d’être victime de piratage ternit sa réputation. Twilio vient d’expérimenter cette situation après avoir été visé par une attaque par phishing. Des hackers ont réussi à consulter des informations des clients de l’entreprise grâce à des identifiants subtilisés à certains salariés.
Twilio vient de subir une cyberattaque. La société révèle s’être rendue compte d’un accès non autorisé à des données relatives à certains de ses comptes clients. Elle détaille que le piratage a été perpétré à travers une attaque par ingénierie sociale ou sophistiquée.
De nouveaux, mais aussi des anciens collaborateurs de l’entreprise IT ont été concernés par l’incident. Ils ont confié que des SMS disant émaner du service informatique leur sont parvenus. Le message annonçait que le planning des travailleurs avait été modifié ou que leurs mots de passe avaient expiré. Il leur demandait alors de se rendre sur une adresse web contrôlée par l’acteur de la menace.
L’éditeur mène progressivement son enquête
Selon les premiers résultats de l’analyse conduite par Twilio, les SMS étaient envoyés par des réseaux d’opérateurs basés aux États-Unis. L’éditeur de solutions de communication cloud, chez lequel les consultants IT portés peuvent chercher des missions, a alors :
Travaillé avec les opérateurs américains pour arrêter les responsables et avec les fournisseurs d’hébergement servant les URL malveillantes pour fermer ces comptes.
Elle ajoute que les auteurs de l’attaque paraissaient en outre posséder des aptitudes avancées pour :
Faire correspondre les noms des employés provenant de sources avec leurs numéros de téléphone.
Les URL renfermaient des termes comme SSO (référence à l’entreprise spécialiste de l’authentification unique), Twilio et Okta. Ces mots étaient utilisés pour pousser les lecteurs à aller sur un lien les dirigeant vers une page de redirection. Cette dernière reproduisant la page de connexion de l’éditeur américain.
La société siégeant à San Francisco souligne ne se trouver qu’au commencement de son investigation. Son département de réaction aux incidents de sécurité présentera des informations additionnelles au fil des avancées de l’enquête. L’équipe coopère également directement avec les clients victimes du piratage.
Tout comme la catégorie d’informations examinées, le nombre de comptes affectés par cet incident n’a pas été dévoilé pour l’heure. Cependant, Twilio est entré en contact avec ses abonnés impactés.
L’impact de l’incident a été réduit grâce à une réaction rapide
Par la suite, la société compte procéder à une autopsie complète de l’offensive. Elle a aussi déjà renforcé sa protection afin de corriger les raisons profondes de la compromission dans l’immédiat.
Cet incident a altérer l’image de Twilio, célèbre entre autres pour ses fonctionnalités de messagerie et vocales dans des logiciels. Parmi celles-ci, l’on citera notamment l’authentification à double facteur (2FA). L’éditeur a déclaré que dès la confirmation de l’offensive, son équipe de sécurité :
A révoqué l’accès aux comptes des employés compromis pour atténuer l’attaque.
Il poursuit avoir mandaté un cabinet spécialisé dans l’expertise judiciaire pour l’épauler dans son investigation. Depuis que les premiers indices d’incident sont apparus, la société a :
- Créé une formation additionnelle imposée de sensibilisation aux menaces d’ingénierie sociale durant les dernières semaines ;
- Présenté des avis de sécurité liés aux tactiques employées en cas de piratage.
À noter que l’attaque par ingénierie sociale repose sur la subtilisation massive de données d’identification des salariés. Beaucoup d’entre les employés de Twilio se sont laissés tromper. Certains de ces travailleurs ont alors communiqué leurs données de login. Les hackers ont ensuite exploité ces informations pour entrer dans certains des systèmes internes de l’entreprise. Grâce à cet accès, ils ont pu voir des données clients. Actif dans 120 pays, Twilio revendique quelque 150 000 clients.
