0
0
A Retool, empresa por trás da popular plataforma de desenvolvimento para construção de software empresarial interno, sofreu uma violação que permitiu que invasores acessassem e assumissem contas de 27 clientes de nuvem, todos na indústria de criptografia.
De acordo com um relatório do CoinDesk , uma das vítimas conhecidas é o Fortress Trust, ou seja, quatro de seus clientes que acessaram seus fundos criptográficos através de um portal construído pela Retool.
Tudo começou com um SMS
O ataque começou com mensagens de texto de spear phishing entregues a vários funcionários da Retool. Segundo a empresa, apenas um caiu no esquema.
A mensagem de texto de phishing. (Fonte: Referramenta)
Falsificado para parecer que vinha do departamento de TI da empresa, o objetivo era fazer com que os alvos fizessem login em um portal de identidade falso do Retool, momento em que receberiam um telefonema do invasor.
“A pessoa que ligou alegou ser um dos membros da equipe de TI e falsificou a voz real do nosso funcionário. A voz estava familiarizada com a planta do escritório, os colegas de trabalho e os processos internos da empresa. Ao longo da conversa, o funcionário ficou cada vez mais desconfiado, mas infelizmente forneceu ao invasor um código adicional de autenticação multifator ( MFA )”, compartilhou Snir Kodesh, chefe de engenharia da Retool, na quarta-feira.
“O token OTP adicional compartilhado durante a chamada foi crítico, porque permitiu ao invasor adicionar seu próprio dispositivo pessoal à conta Okta do funcionário, o que lhes permitiu produzir seu próprio Okta MFA daquele ponto em diante. Isso permitiu que eles tivessem uma sessão ativa do GSuite [ou seja, Google Workspace] naquele dispositivo.”
E como os códigos MFA do funcionário foram sincronizados com sua conta do Google, o invasor agora tinha acesso a todos os tokens MFA mantidos nessa conta.
“Com esses códigos (e a sessão Okta), o invasor obteve acesso à nossa VPN e, principalmente, aos nossos sistemas administrativos internos. Isso permitiu que eles executassem um ataque de controle de conta em um conjunto específico de clientes (todos na indústria de criptografia)”, observou Kodesh, e acrescentou que o invasor também vasculhou alguns dos aplicativos Retool – mas não especificou quais.
“Temos uma instância interna do Retool usada para fornecer suporte ao cliente; foi assim que as aquisições de contas foram executadas. A autenticação para esta instância acontece por meio de VPN, SSO e um sistema MFA final. Uma sessão válida do GSuite por si só teria sido insuficiente.”
Quem é o culpado?
“A engenharia social pode afetar qualquer pessoa”, observou Kodesh, e “mesmo com treinamento perfeito e consciência desses ataques, erros acontecerão”. Ele também atribuiu alguns dos culpados pelo hack ao Google.
A empresa lançou recentemente o recurso de sincronização do Google Authenticator que sincroniza códigos MFA com a nuvem e tornou mais fácil ativar o recurso do que não.
“Infelizmente, o Google emprega padrões obscuros para convencê-lo a sincronizar seus códigos MFA com a nuvem, e nosso funcionário realmente ativou esse ‘recurso’. Se você quiser desativá-lo, não há uma maneira clara de ‘desativar a sincronização com a nuvem’; em vez disso, há apenas uma opção de “desvincular conta do Google”. Em nossa conta corporativa do Google, também não há como um administrador desabilitar centralmente o ‘recurso’ de sincronização do Google Authenticator”, explicou ele .
“Através desta atualização do Google, o que anteriormente era autenticação multifator silenciosamente (para os administradores) tornou-se autenticação de fator único, porque o controle da conta Okta levou ao controle da conta Google, o que levou ao controle de todos os OTPs armazenados no Google Autenticador.”
É claro que o Google não pode ser totalmente culpado por essa violação – a Retool deveria ter revisado regularmente as proteções que implementou e avaliado se ainda são adequadas. Afinal, os invasores já há algum tempo encontram maneiras de contornar a autenticação multifator e o cenário de ameaças está mudando rapidamente.
Se a empresa tivesse usado uma chave de segurança de hardware compatível com FIDO2 em vez de senhas de uso único entregues por meio de um aplicativo autenticador, esse ataque específico de engenharia social teria falhado – como ocorreu um ataque semelhante contra funcionários da Cloudflare há um ano .
A investigação está em andamento
A Retool está trabalhando com as autoridades policiais e uma empresa forense terceirizada para investigar a violação em profundidade.
Até agora, eles descobriram que 27 clientes de nuvem foram afetados (e notificaram todos eles), mas que os clientes locais do Retool permanecem seguros.
“O Retool on-premise opera em um ambiente de ‘confiança zero’ e não confia na nuvem do Retool. É totalmente independente e não carrega nada do ambiente de nuvem. Isso significava que, embora um invasor tivesse acesso à nuvem Retool, não havia nada que pudesse fazer para afetar os clientes locais”, observou Kodesh.
Os clientes da Fortress, por outro lado, aparentemente perderam quase US$ 15 milhões.
ATUALIZAÇÃO (15 de setembro de 2023, 04h35 horário do leste dos EUA):
“Nossa primeira prioridade é a segurança de todos os usuários online, sejam eles consumidores ou empresas, e este evento é outro exemplo de por que continuamos dedicados a melhorar nossas tecnologias de autenticação”, afirmou o Google.
“Além disso, também continuamos a incentivar a mudança em direção a tecnologias de autenticação mais seguras como um todo, como chaves de acesso, que são resistentes ao phishing. Os riscos de phishing e de engenharia social com tecnologias de autenticação legadas, como as baseadas em OTP, são a razão pela qual a indústria está investindo pesadamente nessas tecnologias baseadas em FIDO. Enquanto continuamos trabalhando para essas mudanças, queremos garantir que os usuários do Google Authenticator saibam que têm a opção de sincronizar suas OTPs com suas Contas do Google ou mantê-las armazenadas apenas localmente. Enquanto isso, continuaremos trabalhando para equilibrar segurança e usabilidade enquanto consideramos futuras melhorias no Google Authenticator.”
FONTE: HELP NET SECURITY