Devrait-on, pour l’authentification forte, privilégier les clés de sécurité physique aux codes à usage unique ? Cloudflare a procédé ainsi… et cela l’a probablement mieux protégé face à 0ktapus.
On a donné ce nom à une campagne de phishing classique dans son mode opératoire… mais singulière de par les victimes qu’elle a faites. Twilio, Mailchimp, Signal et DigitalOcean en font partie.
Twilio fut l’un des premiers à émettre une alerte publique. C’était début août. Les attaquants avaient accédé à sa console de support client, grâce à des identifiants SSO (Okta) et des codes MFA récupérés auprès d’employés. Ces derniers avaient cliqué sur un lien malveillant contenu dans un SMS. Généralement, l’objet était une expiration de mot de passe expiré ou une modification d’agenda.
L’accès à ladite console a permis de toucher une vingtaine de clients en aval. Parmi eux, Signal, qui utilise Twilio pour valider les numéros de téléphone de ses utilisateurs. Près de 2000 d’entre eux ont effectivement été affectés, estime l’application de messagerie. En récupérant leurs numéros et les SMS de vérification, les attaquants pouvaient tenter d’enregistrer leur compte sur d’autres appareils.
Du côté de Cloudflare, on admet que trois employés se sont fait piéger. Les premiers SMS leur sont parvenus le 20 juillet, en provenance de SIM T-Mobile.
Les pages de phishing sur lesquelles atterrissaient les employés imitaient le portail d’authentification Okta de leur entreprise. Les identifiants récoltés acheminés aux attaquants via Telegram. La campagne – en cours depuis au moins mars 2022 – aurait permis d’en exfiltrer près de 10 000, quasi intégralement en Amérique du Nord.
Chez Mailchimp, il s’est passé la même chose que chez Twilio. À savoir l’accès à des outils de support client. Avec deux conséquences principales. D’un côté, la fuite d’informations relatives essentiellement à des organisations du secteur financier et des cryptomonnaies. De l’autre, le détournement de comptes. DigitalOcean en a été victime.
L’hébergeur utilise Mailchimp pour, entre autres, transmettre les mails de réinitialisation de mot de passe. Les attaquants en ont profité pour effectuer cette procédure sans éveiller l’attention des utilisateurs.
Photo d’illustration © thodonal – Adobe Stock
Dans un avis consultatif, l'Autorité de la concurrence a identifié les risques concurrentiels liés à…
OpenAI signe un « partenariat de contenu stratégique » avec Time pour accéder au contenu…
Au lendemain du rejet de sa proposition de restructuration, David Layani annonce sa démission du…
Après un an, Hugging Face a revu les fondements de son leaderboard LLM. Quels en…
Mozilla commence à expérimenter divers LLM dans Firefox, en parallèle d'autres initiatives axées sur l'intégration…
VMware met VCF à jour pour y favoriser la migration des déploiements qui, sur le…