Cisco Duo twierdzi, że włamanie do dostawcy usług telefonicznych ujawniło logi SMS-ów MFA

15 kwietnia br. Cisco ostrzegło, że hakerzy włamali się do niezidentyfikowanego dostawcy usług telefonicznych umożliwiającego wysyłanie wiadomości SMS Duo MFA i ukradli logi, które można wykorzystać w dalszych atakach.

Zgodnie z zawiadomieniem wysłanym przez zespół Cisco ds. ochrony danych i reagowania na incydenty naruszenie ujawniło numery telefonów, operatorów telefonicznych, metadane i inne logi, które mogą umożliwiać przeprowadzenie ataków socjotechnicznych oraz phishingowych.

Z ostrzeżenia Cisco:

„Z naszych ustaleń wynika, że podmiot zagrażający uzyskał dostęp do wewnętrznych systemów Dostawcy 1 kwietnia 2024 r., korzystając z danych uwierzytelniających pracownika, które uzyskał nielegalnie w wyniku ataku phishingowego, i wykorzystał ten dostęp do pobrania zestawu dzienników wiadomości SMS MFA dotyczących Twojego Konta Duo”.

„Mówiąc dokładniej, ugrupowanie zagrażające pobrało dzienniki wiadomości SMS wysłanych do określonych użytkowników w ramach Twojego Konta Duo w okresie od 1 do 31 marca 2024 r. Dzienniki nie zawierały żadnej treści wiadomości, ale zawierały numery telefonów, informacje o operatorze telefonicznym, kraju, do którego wysłano każdą wiadomość, a także inne metadane (np. data i godzina wysłania wiadomości, typ wiadomości itp.)”.

Według Cisco dostawca usług telefonicznych, u którego doszło do naruszenia, potwierdził, że ugrupowanie zagrażające nie pobrało treści wiadomości ani w żaden inny sposób nie uzyskało do nich dostępu, a także nie wykorzystało zdobytych danych do wysyłania wiadomości na żaden z numerów zawartych w logach.

Cisco twierdzi, że kopie dzienników skradzionych wiadomości są dostępne na żądanie dla klientów posiadających konta Duo, których dotyczy problem.

„Ponieważ podmiot zagrażający uzyskał dostęp do logów wiadomości w wyniku udanego ataku socjotechnicznego na Dostawcę, prosimy o skontaktowanie się z użytkownikami, których dotyczy problem, których numery telefonów znajdowały się w dziennikach wiadomości, aby powiadomić ich bez zbędnej zwłoki o tym zdarzeniu i jednocześnie doradzić im zachowanie czujności i zgłaszanie wszelkich podejrzanych ataków wykorzystujących socjotechnikę odpowiedniemu zespołowi reagowania na incydenty” – zaapelowało Cisco.

W sierpniu 2018 roku Cisco ogłosiło, że zapłaci 2,35 miliarda dolarów w gotówce za przejęcie firmy Duo Security, dostawcy rozwiązań do zarządzania tożsamością i dostępem w chmurze.

Duo pierwotnie miało siedzibę w Ann Arbor w stanie Michigan. Zebrało 70 mln dolarów w ramach finansowania serii D w październiku 2017 r., co oznaczało wówczas wycenę firmy na 1,17 mld dolarów.

Dzięki swojej flagowej aplikacji do uwierzytelniania dwuskładnikowego (2FA) pakiet produktów Duo „Zaufany dostęp” pomaga weryfikować tożsamość użytkowników i stan ich urządzeń przed przyznaniem im dostępu do aplikacji. Platforma obsługuje komputery Mac, PC i urządzenia mobilne oraz zapewnia administratorom wgląd w urządzenia użytkowników końcowych uzyskujących dostęp do sieci firmowej.

Ogólnie rzecz biorąc, Cisco twierdzi, że dzięki technologii Duo będzie w stanie uprościć zasady bezpieczeństwa chmury i zwiększyć widoczność punktów końcowych.