Quando MFA não é MFA — como a Retool sofreu um ataque de phishing

 (retool.com)
5 pontos por GN⁺ 2023-09-14 | 2 comentários | Compartilhar no WhatsApp
  • Em 29 de agosto de 2023, a Retool informou que 27 contas de clientes na nuvem sofreram acesso não autorizado devido a um ataque de spear phishing
  • O ataque começou por meio de um phishing baseado em SMS, e os funcionários receberam mensagens de texto disfarçadas como se tivessem sido enviadas pelo departamento de TI sobre um problema na conta
  • Um funcionário fez login pelo link fornecido na mensagem de texto, que o levou a um portal falso contendo um formulário de autenticação multifator (MFA)
  • Os invasores, se passando por membros da equipe de TI, ligaram para o funcionário e obtiveram códigos adicionais de MFA, o que lhes permitiu adicionar um dispositivo pessoal à conta Okta do funcionário
  • Depois, os invasores puderam criar sua própria MFA no Okta, o que ativou uma sessão do GSuite no dispositivo do invasor
  • Os invasores então acessaram todos os tokens de MFA dentro da conta Google comprometida, o que lhes permitiu entrar nos sistemas internos da Retool e realizar ataques de takeover contra contas específicas de clientes
  • A Retool respondeu revogando todas as sessões internas de autenticação, restringindo o acesso às contas afetadas, notificando os clientes impactados e restaurando suas contas ao estado original
  • Os clientes on-premises da Retool não foram afetados, pois operam em um ambiente de "confiança zero" e são totalmente independentes
  • O incidente destaca as fragilidades da MFA baseada em OTPs por software e os riscos associados ao recurso de sincronização em nuvem do Google Authenticator
  • A Retool sugeriu que o Google deveria remover os dark patterns do Google Authenticator (que induzem a ativar a sincronização em nuvem) ou oferecer às organizações uma forma de desativá-la
  • A empresa enfatizou a importância da conscientização sobre engenharia social e da necessidade de sistemas que evitem que erros humanos afetem todo o sistema
  • A Retool já implementou internamente workflows com participação humana e planeja levá-los também ao produto para clientes
  • A empresa recomenda que os clientes entendam seu próprio modelo de ameaças e integrem proteções adicionais, como fluxos de escalonamento que exijam aprovações de vários funcionários para executar ações

Leituras relacionadas

2 comentários

 
kunggom 2023-09-15

Pela descrição, parece que alguém bastante por dentro da situação interna da empresa tentou aplicar um ataque de spear phishing.
A ponto de conhecer não só os processos internos da empresa, mas até de fazer uma ligação usando deepfake para sintetizar a voz de um funcionário real.
E ainda neutralizaram o OTP com o recurso de sincronização em nuvem do Google Authenticator... assustador.
 
GN⁺ 2023-09-14
Comentários do Hacker News
  • Este artigo discute um ataque de phishing sofisticado que explorou a autenticação multifator (MFA) e usou tecnologia de deepfake.
  • Os comentaristas sugerem que códigos de MFA baseados em nuvem são vulneráveis e recomendam MFA baseado em SMS como uma alternativa mais segura.
  • A importância do treinamento em segurança é enfatizada, com o conselho de entrar em contato com o solicitante por um canal conhecido e confiável para verificar pedidos inesperados de informação.
  • Há ceticismo sobre o uso de tecnologia de deepfake no ataque, devido à quantidade de informações internas necessárias.
  • A empresa é criticada por não usar 2FA por hardware, considerado mais seguro e mais barato.
  • Questiona-se a recomendação do Google de sincronizar códigos na nuvem, sugerindo o uso de backups criptografados e FIDO2 para melhorar a segurança.
  • OTPs (senhas de uso único) são considerados ultrapassados, e autenticadores resistentes a phishing como U2F, WebAuthn e Passkeys são recomendados como substitutos.
  • Menciona-se a sofisticação do ataque, que fez deepfake da voz de um funcionário e conhecia processos internos da empresa.
  • Há críticas à postura de segurança da empresa, com a sugestão de que medidas básicas de segurança precisam ser corrigidas.
  • A divulgação detalhada do ataque é elogiada por ser acessível e por poder ajudar a comunidade a melhorar as medidas de segurança.
  • Questiona-se como os invasores conseguiram gravações suficientes da voz de um funcionário para criar o deepfake, sugerindo a possibilidade de envolvimento interno.
  • Este incidente levanta preocupações sobre a gravação de conversas e o possível vazamento de processos internos.