La société de logiciels Retool affirme que les comptes de 27 clients cloud ont été compromis à la suite d’une attaque d’ingénierie sociale ciblée et en plusieurs étapes.
La plate-forme de développement de Retool est utilisée pour créer des logiciels d’entreprise par des entreprises allant des startups aux entreprises Fortune 500, notamment Amazon, Mercedes-Benz, DoorDash, NBC, Stripe et Lyft.
Snir Kodesh, responsable de l’ingénierie de Retool, a révélé que tous les comptes piratés appartiennent à des clients du secteur des cryptomonnaies.
La violation s’est produite le 27 août, après que les attaquants ont contourné plusieurs contrôles de sécurité en utilisant le phishing par SMS et l’ingénierie sociale pour compromettre le compte Okta d’un employé informatique.
L’attaque a utilisé une URL usurpant l’identité du portail d’identité interne de Retool et a été lancée lors d’une migration de connexions vers Okta annoncée précédemment.
Alors que la plupart des employés ciblés ont ignoré le message texte de phishing, l’un d’eux a cliqué sur le lien de phishing intégré qui redirigeait vers un faux portail de connexion avec un formulaire d’authentification multifacteur (MFA).
Après s’être connecté, l’attaquant a falsifié la voix d’un employé et a appelé le membre de l’équipe informatique ciblé, l’incitant à fournir un code MFA supplémentaire, ce qui a permis d’ajouter un appareil contrôlé par l’attaquant au compte Okta de l’employé ciblé.
Le piratage est imputé à la nouvelle fonctionnalité de synchronisation de Google Authenticator
Retool attribue le succès du piratage à une nouvelle fonctionnalité de Google Authenticator qui permet aux utilisateurs de synchroniser leurs codes 2FA avec leur compte Google.
Il s’agit d’une fonctionnalité demandée depuis longtemps, car vous pouvez désormais utiliser vos codes Google Authenticator 2FA sur plusieurs appareils, à condition qu’ils soient tous connectés au même compte.
Cependant, Retool affirme que cette fonctionnalité est également responsable de la gravité de la violation du mois d’août, car elle a permis au pirate informatique qui a réussi à hameçonner le compte Google d’un employé d’accéder à tous ses codes 2FA utilisés pour les services internes.
« Grâce à ces codes (et à la session Okta), l’attaquant a accédé à notre VPN et, surtout, à nos systèmes d’administration internes », a déclaré Kodesh.
« Cela leur a permis de lancer une attaque de piratage de compte sur un ensemble spécifique de clients (tous dans le secteur de la cryptographie). (Ils ont modifié les e-mails des utilisateurs et réinitialisé les mots de passe.) Après avoir repris leurs comptes, l’attaquant a fouillé certaines des applications Retool. « .
Comme l’explique Kodesh, alors que Retool avait initialement activé la MFA, les codes d’authentification synchronisés par Google Authenticator avec le cloud ont conduit à une transition par inadvertance vers l’authentification à un seul facteur.
Ce changement s’est produit lorsque le contrôle sur le compte Okta s’est traduit par le contrôle sur le compte Google, accordant l’accès à tous les mots de passe à usage unique (OTP) stockés dans Google Authenticator.
« Nous sommes fermement convaincus que Google devrait soit éliminer ses dark patterns dans Google Authenticator (qui encourage la sauvegarde des codes MFA dans le cloud), soit au moins offrir aux organisations la possibilité de les désactiver. »
Bien que Google Authenticator fasse la promotion de sa fonctionnalité de synchronisation dans le cloud, elle n’est pas obligatoire. Si vous avez activé la fonctionnalité, vous pouvez la désactiver en cliquant sur le cercle de compte en haut à droite de l’application et en sélectionnant « Utiliser Authenticator sans compte ». Cela vous déconnectera de l’application et supprimera vos codes 2FA synchronisés dans votre compte Google.
« Notre première priorité est la sûreté et la sécurité de tous les utilisateurs en ligne, qu’ils soient particuliers ou entreprises, et cet événement est un autre exemple de la raison pour laquelle nous restons déterminés à améliorer nos technologies d’authentification. Au-delà de cela, nous continuons également d’encourager l’évolution vers des technologies d’authentification plus sûres. dans leur ensemble, comme les mots de passe, qui résistent au phishing », a déclaré un porte-parole de Google à Breachtrace.
Google a également recommandé de migrer vers la technologie basée sur FIDO à partir de l’ancienne authentification multifacteur par mot de passe à usage unique (OTP) comme moyen simple de contrecarrer des attaques similaires.
« Les risques de phishing et d’ingénierie sociale liés aux technologies d’authentification existantes, telles que celles basées sur OTP, expliquent pourquoi le secteur investit massivement dans ces technologies basées sur FIDO », a déclaré le porte-parole de Google.
« Pendant que nous continuons à travailler sur ces changements, nous voulons nous assurer que les utilisateurs de Google Authenticator savent qu’ils ont le choix de synchroniser leurs OTP avec leur compte Google ou de les conserver uniquement localement. En attendant, nous continuerons à travailler. sur l’équilibre entre sécurité et convivialité alors que nous envisageons de futures améliorations de Google Authenticator.
Aucun client Retool sur site n’a été piraté
Après avoir découvert l’incident de sécurité, Retool a révoqué toutes les sessions authentifiées des employés internes, y compris celles d’Okta et de G Suite.
Il a également restreint l’accès aux 27 comptes compromis et averti tous les clients cloud concernés, restaurant ainsi tous les comptes piratés à leurs configurations d’origine (aucun client sur site n’a été touché par l’incident, selon Retool).
« Cela signifiait que même si un attaquant avait accès au cloud Retool, il ne pouvait rien faire pour affecter les clients sur site », a déclaré Kodesh.
« Il convient de noter que la grande majorité de nos clients crypto et plus importants en particulier utilisent Retool sur site. »
Un rapport de Coindesk a lié la violation de Retool au vol de 15 millions de dollars à Fortress Trust début septembre.
La plate-forme de développement de Retool est utilisée pour créer des logiciels d’entreprise par des entreprises allant des startups aux entreprises Fortune 500, notamment Amazon, Mercedes-Benz, DoorDash, NBC, Stripe et Lyft.
Les auteurs de menaces recourent de plus en plus à des attaques d’ingénierie sociale ciblant les centres de services informatiques ou le personnel d’assistance pour obtenir un premier accès aux réseaux d’entreprise.
La liste des entreprises qui ont été piratées grâce à cette tactique comprend Cisco, Uber, 2K Games et, plus récemment, MGM Resorts.
Fin août, Okta a alerté ses clients de violations de réseaux via les centres de services informatiques des entreprises après que des pirates ont réinitialisé les défenses d’authentification multifacteur (MFA) pour les comptes de super-administrateur ou d’administrateur d’organisation.
Les agences fédérales américaines ont également mis en garde cette semaine contre les risques de cybersécurité derrière les attaquants utilisant des deepfakes. Ils ont recommandé d’utiliser une technologie capable de détecter les deepfakes utilisés pour accéder à leurs réseaux, communications et informations sensibles à la suite d’attaques d’ingénierie sociale réussies.