Търсене
Close this search box.

Retool обвинява за нарушение MFA на Google Authenticator

Софтуерната компания Retool съобщава, че акаунтите на 27 клиенти на облачни услуги са били компрометирани в резултат на целенасочена и многоетапна атака чрез социално инженерство.

Платформата за разработване на Retool се използва за изграждане на бизнес софтуер от компании, вариращи от стартъпи до предприятия от класацията Fortune 500, включително Amazon, Mercedes-Benz, DoorDash, NBC, Stripe и Lyft.

Снир Кодеш, ръководител на инженерния отдел на Retool, разкри, че всички отвлечени акаунти принадлежат на клиенти от криптовалутната индустрия.

Нарушението е станало на 27 август, след като нападателите са заобиколили множество контроли за сигурност, използвайки SMS фишинг и социално инженерство, за да компрометират акаунта на ИТ служител в Okta.

Атаката е използвала URL адрес, представящ се за вътрешния портал за идентификация на Retool, и е стартирала по време на предварително обявената миграция на входните данни към Okta.

Въпреки че повечето от служителите, към които е насочено съобщението, са игнорирали фишинг съобщението, един от тях е кликнал върху вградената фишинг връзка, която е пренасочила към фалшив портал за влизане с формуляр за многофакторна автентикация (MFA).

След като влязъл в системата, нападателят дълбоко фалшифицирал гласа на служителя и се обадил на набелязания член на ИТ екипа, като го подвел да предостави допълнителен MFA код, който позволил добавянето на контролирано от нападателя устройство към Okta акаунта на набелязания служител.

За хакерската атака е виновна новата функция за синхронизация на Google Authenticator

Retool обвинява за успеха на хакерската атака новата функция в Google Authenticator, която позволява на потребителите да синхронизират своите 2FA кодове с профила си в Google.

Това е отдавна търсена функция, тъй като сега можете да използвате своите 2FA кодове в Google Authenticator на няколко устройства, стига всички те да са влезли в един и същи акаунт.

Retool обаче твърди, че тази функция е виновна и за сериозността на пробива през август, тъй като е позволила на хакера, който успешно е откраднал профила на служител в Google, да получи достъп до всички техни 2FA кодове, използвани за вътрешни услуги.

„С тези кодове (и сесията на Okta) нападателят е получил достъп до нашата VPN и, което е изключително важно, до вътрешните ни административни системи“, казва Кодеш.

„Това им позволи да извършат атака за превземане на акаунти на определен набор от клиенти (всички в криптоиндустрията). (Те смениха имейлите на потребителите и нулираха паролите.) След като превзе акаунтите им, нападателят се поразрови в някои от приложенията на Retool.“

Както обяснява Кодеш, макар първоначално Retool да е активирала MFA, автентификационните кодове, синхронизирани от Google Authenticator в облака, са довели до неволно преминаване към еднофакторна автентикация.

Това преминаване е станало, тъй като контролът върху акаунта Okta се е превърнал в контрол върху акаунта в Google, предоставяйки достъп до всички еднократни пароли (OTP), съхранявани в Google Authenticator.

„Силно вярваме, че Google трябва или да премахне своите тъмни модели в Google Authenticator (които насърчават запазването на MFA кодове в облака), или поне да предостави на организациите възможността да ги деактивират.“

Въпреки че Google Authenticator насърчава своята функция за синхронизиране в облака, тя не е задължителна. Ако сте активирали функцията, можете да я деактивирате, като щракнете върху кръгчето с акаунта в горния десен ъгъл на приложението и изберете „Използвайте Authenticator без акаунт“. Това ще ви изведе от приложението и ще изтрие синхронизираните 2FA кодове в профила ви в Google.

„Нашият основен приоритет е безопасността и сигурността на всички онлайн потребители, независимо дали са потребители или предприятия, и това събитие е още един пример защо продължаваме да сме отдадени на усъвършенстването на нашите технологии за удостоверяване. Освен това продължаваме да насърчаваме и преминаването към по-безопасни технологии за удостоверяване като цяло, като например паролите, които са устойчиви на фишинг“, заяви говорител на Google.

Google също така препоръча да се премине към технология, базирана на FIDO, от досегашната многофакторна автентикация с еднократна парола (OTP) като прост начин за осуетяване на подобни атаки.

„Рисковете, свързани с фишинг и социално инженерство при старите технологии за удостоверяване, като тези, базирани на OTP, са причината индустрията да инвестира много в тези технологии, базирани на FIDO“, каза говорителят на Google.

„Докато продължаваме да работим по тези промени, искаме да гарантираме, че потребителите на Google Authenticator знаят, че имат избор дали да синхронизират своите OTP с профила си в Google, или да ги съхраняват само локално. Междувременно ще продължим да работим за балансиране на сигурността с удобството при използване, докато обмисляме бъдещи подобрения на Google Authenticator.“

Няма нарушени локални клиенти на Retool

След като открива инцидента със сигурността, Retool анулира всички вътрешни сесии за удостоверяване на служителите, включително тези за Okta и G Suite.

Освен това тя ограничи достъпа до всички 27 компрометирани акаунта и уведоми всички засегнати клиенти на облачни услуги, като възстанови всички отвлечени акаунти до първоначалните им конфигурации (според Retool инцидентът не е засегнал локални клиенти).

„Това означава, че въпреки че нападателят е имал достъп до облака на Retool, той не е могъл да направи нищо, за да засегне локалните клиенти“, казва Кодеш.

„Струва си да се отбележи, че огромното мнозинство от нашите крипто и по-специално по-големи клиенти използват Retool on-premise.“

Доклад на Coindesk свързва пробива в Retool с кражбата на 15 млн. долара от Fortress Trust в началото на септември.

Платформата за разработка на Retool се използва за изграждане на бизнес софтуер от компании, вариращи от стартъпи до предприятия от Fortune 500, включително Amazon, Mercedes-Benz, DoorDash, NBC, Stripe и Lyft.

Заплахите все по-често използват атаки със социално инженерство, насочени към бюрата за ИТ услуги или персонала по поддръжката, за да получат първоначален достъп до корпоративните мрежи.

Списъкът на компаниите, които са били хакнати с помощта на тази тактика, включва Cisco, Uber, 2K Games, а напоследък и MGM Resorts.

В края на август Okta предупреди клиентите си за мрежи, които са били пробити чрез бюрата за ИТ услуги на компаниите, след като хакери са нулирали защитите за многофакторна автентификация (MFA) за акаунти Super Administrator или Org Administrator.

Федералните агенции на САЩ също предупредиха тази седмица за рисковете за киберсигурността, които стоят зад нападателите, използващи дълбоки фалшификати. Те препоръчаха да се използват технологии, които могат да помогнат за откриването на дълбоки фалшификати, използвани за получаване на достъп до техните мрежи, комуникации и чувствителна информация след успешни атаки със социален инженеринг.

Източник: По материали от Интернет

Подобни публикации

30 май 2024

Измамата "Безплатно пиано"

Мащабна фишинг кампания използва необичайна примамка, за да спечели...
30 май 2024

OmniVision призна за атака с рансъмуер

Гигантът в областта на производството на полупроводници OmniVision ...
29 май 2024

Пуснат е експлойт за FortiSIEM с максимална тежест

Изследователи в областта на сигурността публикуваха доказателство з...
29 май 2024

Операторът на NYSE Intercontinental Exchange по...

Миналата сряда Комисията по ценните книжа и фондовите борси на САЩ ...
29 май 2024

Рутерът за игри TP-Link Archer C5400X е уязвим

Рутерът за игри TP-Link Archer C5400X е уязвим към пропуски в сигур...
29 май 2024

Christie's потвърждава пробив от RansomHub

Christie’s потвърди, че е претърпяла инцидент със сигурността...
Бъдете социални
Още по темата
28/05/2024

Хакерите се насочват към VP...

Заплахите се насочват към VPN устройствата...
27/05/2024

Атаките от типа "нулев ден"...

Атаките от типа „нулев ден“ продължават...
25/05/2024

Хакери избягаха с 3 000 гал...

Почти всеки ден новинарските агенции съобщават...
Последно добавени
30/05/2024

Измамата "Безплатно пиано"

Мащабна фишинг кампания използва необичайна примамка,...
30/05/2024

OmniVision призна за атака ...

Гигантът в областта на производството на...
29/05/2024

Пуснат е експлойт за FortiS...

Изследователи в областта на сигурността публикуваха...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!