Bij de phishingaanval op cloudcommunicatieplatform Twilio zijn ook sms-berichten van authenticatieplatform Okta met one-time passwords bedoeld voor klanten buitgemaakt. Mogelijk dat de aanvallers hiermee verdere toegang tot accounts en organisaties probeerden te krijgen. Dat heeft het bedrijf in een blogposting laten weten. Eerder werd ook bekend dat de aanvallers Authy 2FA-accounts wisten te compromitteren.

Twilio biedt verschillende tools voor telefonie, het versturen van sms-berichten en andere communicatie. Het bedrijf claimt meer dan 270.000 actieve klanten te hebben. Begin augustus meldde Twilio dat aanvallers toegang tot interne systemen en klantgegevens hadden gekregen nadat personeel in een phishingaanval was getrapt. Het ging in totaal om de omgevingen van 163 klanten, waaronder versleutelde chatapp Signal, waar de aanvallers vervolgens van 1900 gebruikers de telefoonnummers en registratiecodes buitmaakten.

Nu laat ook authenticatieplatform Okta weten dat het slachtoffer van de Twilio-aanval is geworden. Okta biedt een platform waarmee organisaties hun medewerkers op bedrijfssystemen kunnen laten inloggen. Een van de authenticators die het bedrijf biedt zijn one-time passwords die via sms naar medewerkers worden verstuurd om, naast gebruik van hun gebruikersnaam en wachtwoord, op systemen in te loggen.

Okta gebruikt het Twilio-platform voor het versturen van deze sms-berichten. Bij de aanval op Twilio wisten de aanvallers toegang te krijgen tot de Okta-console. In deze console zochten de aanvallers naar 38 unieke telefoonnummers die bijna allemaal aan één organisatie zijn te koppelen, aldus Okta. De naam van de organisatie is niet bekendgemaakt. Ook is er geen verdere informatie over de andere telefoonnummers gegeven.

Het vermoeden bestaat dat de aanvallers inloggegevens gebruikten die bij een eerdere phishingaanval waren buitgemaakt om op accounts van deze medewerkers in te loggen. De accounts waren echter via het Okta-platform beveiligd. Tijdens het inloggen op de accounts werd er een one-time password via sms naar de betreffende medewerkers gestuurd. De aanvallers hebben vervolgens bij Twilio naar deze one-time passwords gezocht.

Daarnaast hebben de aanvallers ook toegang gehad tot telefoonnummers die in het Twilio-portaal aanwezig waren op het moment dat de aanvallers hier toegang toe hadden. Het zou hier gaan om een "incidentele blootstelling" en de aanvallers hebben volgens Okta deze nummers niet gebruikt.

Eerder meldde Group-IB dat de aanval op Twilio onderdeel van een wereldwijde phishingaanval is waarbij meer dan 130 organisaties en 10.000 accounts zijn gecompromitteerd. De aanvallers gebruikten phishingberichten waarbij werd gesteld dat ontvangers op de Okta-inlogomgeving van hun organisatie moesten inloggen. Daarbij hebben de aanvallers het voorzien op it-dienstverleners, softwarebedrijven en cloudproviders, alsmede financiële instellingen en bedrijven die toegang tot cryptovaluta en -markten hebben of investeringstools ontwikkelen. Dit beeld wordt door Okta bevestigd.