image

Authy 2FA-accounts gekaapt bij aanval op Twilio

zaterdag 27 augustus 2022, 07:47 door Redactie, 6 reacties

Bij de aanval op cloudcommunicatieplatform Twilio zijn ook tweefactorauthenticatie (2FA) accounts van Authy-gebruikers gekaapt en hebben de aanvallers hun eigen apparaten aan deze accounts toegevoegd. Daarnaast zijn er meer Twilio-klanten getroffen dan in eerste instantie werd gemeld, zo laat het bedrijf in een update over de aanval weten.

Twilio biedt verschillende tools voor telefonie, het versturen van sms-berichten en andere communicatie. Het bedrijf claimt meer dan 270.000 actieve klanten te hebben. Begin augustus meldde Twilio dat aanvallers toegang tot interne systemen en klantgegevens hadden gekregen nadat personeel in een phishingaanval was getrapt. In eerste instantie werd gemeld dat de aanvallers toegang tot de gegevens van 125 klanten hadden gekregen. Het ging onder andere om versleutelde chatapp Signal, waar de aanvallers vervolgens van 1900 gebruikers de telefoonnummers en registratiecodes buitmaakten.

Nu meldt Twilio dat het om 163 gebruikers gaat. Daarnaast zijn ook gebruikers van 2FA-app Authy getroffen. Authy is een app die gebruikers 2FA-codes laat genereren voor het inloggen op accounts en is onderdeel van Twilio. Gebruikers kunnen via hun Authy-account hun gegevens op de servers van Authy opslaan en meerdere apparaten synchroniseren. Volgens Twilio maken 75 miljoen mensen gebruik van de 2FA-app.

De aanvallers die toegang tot de systemen van Twilio wisten te krijgen hebben vervolgens 93 Authy 2FA-accounts gekaapt en daar hun eigen apparaten aan toegevoegd. Wanneer de aanvallers ook over de inloggegevens van deze gebruikers beschikten zouden ze zo op andere accounts beveiligd met 2FA kunnen inloggen. Twilio zegt getroffen gebruikers te zullen waarschuwen en heeft de toegevoegde apparaten verwijderd. Eerder werd bekend dat de aanval op Twilio onderdeel van een wereldwijde phishingaanval is.

Reacties (6)
27-08-2022, 08:25 door Anoniem
Is het in wezen dan toch een (veel complexere) 1-factor authenticatie?
Denk er eens over na.
27-08-2022, 13:39 door Anoniem
Door Anoniem: Is het in wezen dan toch een (veel complexere) 1-factor authenticatie?
Denk er eens over na.
Nee, tenzij ik iets mis in je beperkte reactie. Want je doet er slim aan om je 2fa te scheiden van je gebruikersnamen en wachtwoorden. Op deze manier moet een aanvaller tenminste twee beveiligingslagen (tegelijkertijd) doorbreken om toegang te verkrijgen tot je gegevens.
27-08-2022, 14:35 door Anoniem
Door Anoniem: Is het in wezen dan toch een (veel complexere) 1-factor authenticatie?
Denk er eens over na.


als er een shared-secret is, ja dan is het fundamenteel een 1 FA op precies dat moment dat die shared-secret over een en hetzelfde kanaal gaat. pas als de shared secret via een ander kanaal opgezet wordt (of via een DH-key exchange oid waarbij in transit niet voldoende info beschikbaar is om de shared secret bij de twee end-points te bepalen) dan wordt het een echte 2FA (aangenomen dat die shared secret niet gelekt wordt door een bug in OS/app van device/server oid ook). maar da's allemaal ingewikkeld en lastig enzo...

dus nu doen we alsof we 2FA hebben op een klunky way, laten mensen extra handelingen telkens uitvoeren bij inloggen (gebruikersgemak inleveren) en toch worden er dan nog steeds accounts powned (geen echte extra beveiliging).

vooruitgang noemt men dat: let op als mensen woorden gebruiken als 'niet meer van deze tijd' enzo!
27-08-2022, 16:12 door Anoniem
dat en hoe MFA vaker faalt kun je lezen in bijv:

https://www.bleepingcomputer.com/news/security/devious-phishing-method-bypasses-mfa-using-remote-access-software/
https://www.bleepingcomputer.com/news/security/android-malware-escobar-steals-your-google-authenticator-mfa-codes/
https://www.bleepingcomputer.com/news/security/microsoft-phishing-bypassed-mfa-in-attacks-against-10-000-orgs/
https://www.bleepingcomputer.com/news/security/new-windows-subsystem-for-linux-malware-steals-browser-auth-cookies/
https://www.bleepingcomputer.com/news/security/google-youtubers-accounts-hijacked-with-cookie-stealing-malware/
https://www.bleepingcomputer.com/news/security/phishing-attack-hijacks-office-365-accounts-using-oauth-apps/
https://www.bleepingcomputer.com/news/security/microsoft-scammers-bypass-office-365-mfa-in-bec-attacks/

vrij recentelijk die laatste ook nog:

https://www.theregister.com/2022/08/25/microsoft_365_bec/
https://www.mitiga.io/blog/persistent-mfa-circumvention-in-an-advanced-bec-campaign-on-microsoft-365-targets


"makkelijker kunnen we het niet maken..."


enzv enzv enzv
27-08-2022, 19:10 door Anoniem
@13:39,

Ik ken niet precies de situatie van de 2FA accounts die zijn gekaapt.

Precies zoals 14:35 de voorstelling maakt. Als je alleen met de gekaapte 2FA accounts ergens toegang kan krijgen, dan is het in wezen een 1FA account.
Als het anders is dan is er met de gkaapte accounts hoeganaamd niets aan de hand (je mag dan nog wel vraagtekens stellen tav Twilio).

Overigens heb ik een wat fundamentelere opvatting over 2FA. In mijn opvatting is er sprake van 2FA als een combinatie van twee bestaat
1. wat weet je
2. wat heb je (bijv een token; kan ook een telefoon zijn, maar een sms code kan wel eens te weinig zekerheid bieden)
3. wat (wie) ben je (deze acht ik minder geschikt, maar toch)
28-08-2022, 12:02 door Anoniem
hier ook weer wat meer info:

https://www.techrepublic.com/article/email-attack-exploits-microsoft-mfa/

wel de lasten maar niet de lusten...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.