Atualização 16/04/24: Adicionada a declaração da Cisco abaixo.
A equipe de segurança do Cisco Duo alerta que hackers roubaram registros de VoIP e SMS de alguns clientes para mensagens de autenticação multifator (MFA) em um ataque cibernético ao seu provedor de telefonia.
Cisco Duo é um serviço de autenticação multifatorial e logon único usado por empresas para fornecer acesso seguro a redes internas e aplicativos corporativos.
A página inicial do Duo informa que ele atende 100.000 clientes e lida com mais de um bilhão de autenticações mensalmente, com mais de 10.000.000 de downloads no Google Play .
Em e-mails enviados aos clientes, o Cisco Duo afirma que um provedor não identificado que lida com as mensagens de autenticação multifator (MFA) SMS e VOIP da empresa foi comprometido em 1º de abril de 2024.
O aviso explica que um agente de ameaça obteve credenciais de funcionários por meio de um ataque de phishing e depois usou essas credenciais para obter acesso aos sistemas do provedor de telefonia.
O invasor então baixou registros de mensagens SMS e VoIP MFA associados a contas Duo específicas entre 1º de março de 2024 e 31 de março de 2024.
“Estamos escrevendo para informá-lo sobre um incidente envolvendo um de nossos fornecedores de telefonia Duo (o “Provedor”) que o Duo usa para enviar mensagens de autenticação multifator (MFA) via SMS e VOIP para seus clientes”, diz o aviso enviado aos clientes afetados. .
"A Cisco está trabalhando ativamente com o provedor para investigar e resolver o incidente. Enquanto a investigação está em andamento, a seguir está um resumo do incidente com base no que aprendemos até o momento."
O provedor confirmou que o autor da ameaça não acessou nenhum conteúdo das mensagens nem utilizou seu acesso para enviar mensagens aos clientes.
No entanto, os logs de mensagens roubadas contêm dados que poderiam ser usados em ataques de phishing direcionados para obter acesso a informações confidenciais, como credenciais corporativas.
Os dados contidos nesses registros incluem:
Número de telefone
Operadora
Dados de localização
Data
Tempo
Tipo de mensagem
Quando o fornecedor afetado descobriu a violação, invalidou as credenciais comprometidas, analisou os registros de atividades e notificou a Cisco adequadamente. Medidas de segurança adicionais também foram implementadas para evitar incidentes semelhantes no futuro.
O fornecedor forneceu ao Cisco Duo todos os registros de mensagens expostas, que podem ser solicitados pelo e-mail msp@duo.com para ajudar a entender melhor o escopo da violação, seu impacto e a estratégia de defesa apropriada a ser adotada.
A Cisco também alerta os clientes afetados por esta violação para estarem vigilantes contra possíveis ataques de phishing por SMS ou de engenharia social usando as informações roubadas.
"Como o autor da ameaça obteve acesso aos logs de mensagens por meio de um ataque bem-sucedido de engenharia social ao Provedor, entre em contato com seus clientes com usuários afetados cujos números de telefone estavam contidos nos logs de mensagens para notificá-los, sem demora injustificada, deste evento e para aconselhe-os a estarem vigilantes e reportarem quaisquer suspeitas de ataques de engenharia social à equipe de resposta a incidentes relevantes ou outro ponto de contato designado para tais assuntos", conclui a notificação da Equipe de Privacidade de Dados e Resposta a Incidentes da Cisco.
“Por favor, considere também educar seus usuários sobre os riscos representados por ataques de engenharia social e investigar qualquer atividade suspeita”.
O FBI alertou no ano passado que os agentes de ameaças usavam cada vez mais phishing por SMS e chamadas de voz em ataques de engenharia social para violar redes corporativas.
Em 2022, o Uber foi violado depois que um agente de ameaça realizou um ataque de fadiga MFA a um funcionário e, em seguida, contatou-o no WhatsApp por meio de seus números de telefone, fingindo ser pessoal de suporte de TI. Isso acabou fazendo com que o alvo permitisse que os hackers fizessem login na conta e obtivessem acesso aos sistemas do Uber.
A Cisco não divulgou o nome do fornecedor e o número de clientes afetados por este incidente. BleepingComputer contatou a Cisco com mais perguntas, mas não houve resposta imediata.
Atualização 16/04/24: Cisco disse ao BleepingComputer que o incidente afetou aproximadamente 1% dos clientes do Duo. Como a empresa afirma ter 100 mil usuários, esse incidente impactou aproximadamente 1 mil pessoas.
“A Cisco está ciente de um incidente envolvendo um único fornecedor de telefonia que envia mensagens de autenticação multifator Duo (MFA) via SMS e VOIP para destinatários baseados na América do Norte”, disse a Cisco ao BleepingComputer.
"A Cisco está trabalhando ativamente com o fornecedor para investigar e resolver o incidente. Com base nas informações recebidas do fornecedor até o momento, avaliamos que aproximadamente 1% dos clientes da Duo foram afetados. Nossa investigação está em andamento e estamos notificando os clientes afetados por meio de nossos canais estabelecidos conforme apropriado."
Fonte: www.bleepingcomputer.com
Comments