- 29 अगस्त 2023 को Retool ने बताया कि spear phishing हमले के कारण 27 cloud customer accounts में अनधिकृत access हुआ
- यह हमला SMS-आधारित phishing attack से शुरू हुआ, जिसमें कर्मचारियों को ऐसे text messages मिले जो IT विभाग की ओर से account issue के बारे में भेजे गए लग रहे थे
- एक कर्मचारी ने text message में दिए गए लिंक से login किया, जिसने उसे एक नकली portal पर भेजा जिसमें multi-factor authentication (MFA) form शामिल था
- हमलावर ने IT team member बनकर कर्मचारी को फोन किया और अतिरिक्त MFA codes हासिल किए, जिससे वह कर्मचारी के Okta account में एक personal device जोड़ सका
- इसके बाद हमलावर अपना स्वयं का Okta MFA बना सका, जिससे हमलावर के device पर GSuite session सक्रिय हो गया
- हमलावर ने compromised Google account के भीतर मौजूद सभी MFA tokens तक access प्राप्त किया, जिससे Retool के internal systems तक पहुंच मिली और कुछ customer accounts पर account takeover attack किया गया
- Retool ने सभी internal authentication sessions रद्द किए, प्रभावित accounts की access सीमित की, प्रभावित customers को सूचित किया, और उनके accounts को मूल स्थिति में बहाल करके प्रतिक्रिया दी
- Retool के on-premise customers प्रभावित नहीं हुए, क्योंकि वे "zero trust" environment में पूरी तरह स्वतंत्र रूप से operate करते हैं
- यह घटना software-आधारित OTPs के लिए MFA की कमजोरियों और Google Authenticator के cloud sync feature से जुड़े जोखिमों को उजागर करती है
- Retool ने सुझाव दिया कि Google को Google Authenticator के dark patterns (यानी cloud sync चालू करने के लिए प्रेरित करने वाले डिज़ाइन) हटाने चाहिए, या संगठनों को इसे disable करने की सुविधा देनी चाहिए
- कंपनी ने social engineering के प्रति जागरूकता के महत्व और ऐसी systems की आवश्यकता पर जोर दिया जो पूरे system को प्रभावित करने वाली मानवीय त्रुटियों को रोक सकें
- Retool ने पहले ही internally human-in-the-loop workflows लागू किए हैं और उन्हें customers के लिए अपने product में भी लागू करने की योजना रखता है
- कंपनी ने customers को अपनी threat model समझने और अतिरिक्त सुरक्षा उपाय, जैसे action execute करने या कई कर्मचारियों की approval मांगने वाले escalation flows, एकीकृत करने की सिफारिश की
2 टिप्पणियां
जैसा कि बताया गया है, लगता है कंपनी की अंदरूनी स्थिति से अच्छी तरह वाकिफ किसी व्यक्ति ने काफ़ी targeted spear-phishing की कोशिश की थी।
यहाँ तक कि उसे कंपनी की internal process की ही नहीं, बल्कि असली कर्मचारी की आवाज़ को deepfake से synthesize करके कॉल करने लायक जानकारी भी थी।
और ऊपर से Google Authenticator के cloud sync फीचर का इस्तेमाल करके OTP को बेअसर कर दिया गया—काफ़ी डरावना है…
Hacker News राय