La società di software Retool ha annunciato che i dati degli account di 27 clienti cloud sono stati violati. L’attacco è avvenuto attraverso la sincronizzazione cloud di Google Authenticator MFA, dopo un attacco di ingegneria sociale e smishing. Retool è una piattaforma di sviluppo software utilizzata da startup e aziende Fortune 500, tra cui Amazon, Mercedes-Benz, DoorDash, NBC, Stripe e Lyft. La violazione è avvenuta il 27 agosto, quando gli aggressori hanno sfruttato il phishing via SMS e l’ingegneria sociale per compromettere l’account Okta di un dipendente IT. Gli aggressori hanno utilizzato un URL che imitava il portale di identità interno di Retool durante una migrazione dei login a Okta. Uno dei dipendenti ha cliccato sul link malevolo, che lo ha reindirizzato a un falso portale di login con autenticazione a più fattori (MFA). Dopo l’accesso, l’aggressore ha simulato la voce di un dipendente e ha chiamato il membro del team IT preso di mira, costringendolo a fornire un codice MFA aggiuntivo che ha permesso di aggiungere un dispositivo controllato dall’aggressore all’account Okta del dipendente. Secondo gli esperti di sicurezza informatica, questo attacco dimostra l’importanza di adottare misure di sicurezza e programmi di formazione specifici contro gli attacchi di ingegneria sociale. Inoltre, le aziende dovrebbero essere consapevoli degli SMS di phishing, che hanno maggiori probabilità di avere successo rispetto alle e-mail. Inoltre, l’uso di deepfake e intelligenza artificiale generativa sta rendendo gli attacchi sempre più sofisticati. Retool ha attribuito il successo dell’attacco a una nuova funzione di Google Authenticator che consentiva la sincronizzazione dei codici MFA su più dispositivi. Tuttavia, questa funzione ha anche permesso agli aggressori di ottenere accesso non autorizzato ai codici utilizzati per i servizi interni di Retool.
Violazione degli account dei clienti di Retool dopo un attacco di ingegneria sociale
