Рассказываем, как Retool стал жертвой необычной атаки.
В прошлом месяце компания Retool, специализирующаяся на разработке бизнес-приложений для клиентов, стала жертвой взлома. Жертвами взлома стали 27 облачных клиентов компании.
Хакер начал свою атаку, отправив нескольким сотрудникам Retool SMS-сообщения от лица члена IT-команды, якобы решая проблему с выплатой зарплаты и предоставлением медицинской страховки. Большинство получивших проигнорировали фишинговое сообщение, за исключением одного сотрудника.
Этот ничего не подозревающий сотрудник перешел по URL-ссылке в сообщении, которая перенаправила его на поддельный интернет-портал для входа. После авторизации на сайте, с ним связались по телефону, используя голос, созданный с помощью ИИ-технологий, копирующий реальный голос сотрудника. В разговоре хакер, изображая члена IT-команды, был знаком с планировкой офиса, коллегами по работе и внутренними процессами компании. В ходе беседы сотрудник начал подозревать подвох, однако предоставил атакующему дополнительный код двухфакторной аутентификации (MFA).
Этот инцидент указывает на то, что атакующий, возможно, уже частично получил доступ к ресурсам Retool до этого звонка. Получив код двухфакторной аутентификации, злоумышленник добавил свое устройство к аккаунту сотрудника и получил доступ к его GSuite-аккаунту.
Особенно опасным стало то, что приложение Google Authenticator недавно добавило функцию синхронизации в облаке. Это означает, что коды MFA теперь можно просматривать на нескольких устройствах, связанных с аккаунтом.
Retool подчеркнула серьезность проблемы: "Если ваш Google-аккаунт скомпрометирован, ваши MFA-коды также находятся под угрозой". По словам компании, именно доступ к Google-аккаунту позволил злоумышленнику проникнуть в внутренние системы компании.
Retool уже лишила хакера доступа, но решила раскрыть информацию о произошедшем, чтобы предостеречь другие компании. Они также призвали Google изменить свое приложение аутентификации, чтобы компании могли легко отключать функцию синхронизации в облаке для своих сотрудников. Google пока не комментировал эту ситуацию.
Источник: securitylab