De recente hack op Twilio blijkt onderdeel te zijn van een veel grotere hackoperatie. Er zijn meer dan 130 andere bedrijven getroffen.

Volgens Group-IB werden bij de grootschalige hack-operatie de inloggegevens en andere gevoelige informatie van ongeveer 10.000 medewerkers buitgemaakt. Vooral werden organisaties aangevallen die Okta gebruiken voor single sign-on.

Phishing-operatie

De getroffen bedrijven werden aangevallen middels phishing. Hierbij werden niet alleen de inloggegevens van medewerkers buitgemaakt, maar ook de benodigde two-factor authenticatiegegevens. Hierdoor was het voor de hackers eenvoudiger systemen te compromitteren.

De hackers gebruikten diverse beelden, fonts of scripts die vaak aan bepaalde phishing-kits kunnen worden gekoppeld. Maar de betreffende phishing kit gebruikte bijvoorbeeld ook een legitiem beeld dat normaal wordt gebruikt voor Okta-authenticatie.

Meerdere sectoren aangevallen

Dat meerdere bedrijven werden aangevallen, zo geeft Group-IB aan, komt waarschijnlijk doordat telefoonnummers zijn buitgemaakt bij vroege hacks op telecomoperators en andere telecombedrijven. Met deze buitgemaakte nummers konden weer andere aanvallen, zoals bij een supply chain aanval, worden opgezet. Andere aangevallen organisaties waren onder meer IT-bedrijven, financiële instellingen en gamebedrijven. Vooral bedrijven in de Verenigde Staten en Canada werden aangevallen.

Tip: Cyberaanval raakt Twilio, klantgegevens in gevaar