L’équipe de sécurité de Cisco Duo avertit que des pirates informatiques ont volé les journaux VoIP et SMS de certains clients pour les messages d’authentification multifacteur (MFA) lors d’une cyberattaque contre leur fournisseur de téléphonie.

Cisco Duo est un service d’authentification multifacteur et d’authentification unique utilisé par les entreprises pour fournir un accès sécurisé aux réseaux internes et aux applications d’entreprise.

La page d’accueil de Duo indique qu’elle sert 100 000 clients et gère plus d’un milliard d’authentifications par mois, avec plus de 10 000 000 de téléchargements sur Google Play.

Dans les courriels envoyés aux clients, Cisco Duo indique qu’un fournisseur anonyme qui gère les messages d’authentification multifacteur (MFA) SMS et VOIP de l’entreprise a été compromis le 1er avril 2024.

L’avis explique qu’un auteur de menace a obtenu les informations d’identification des employés par le biais d’une attaque de phishing, puis a utilisé ces informations d’identification pour accéder aux systèmes du fournisseur de téléphonie.

L’intrus a ensuite téléchargé les journaux de messages MFA SMS et VoIP associés à des comptes Duo spécifiques entre le 1er mars 2024 et le 31 mars 2024.

« Nous vous écrivons pour vous informer d’un incident impliquant l’un de nos fournisseurs de téléphonie Duo (le » Fournisseur ») que Duo utilise pour envoyer des messages d’authentification multifacteur (MFA) par SMS et VOIP à ses clients », lit-on dans l’avis envoyé aux clients concernés.

« Cisco travaille activement avec le fournisseur pour enquêter et résoudre l’incident. Pendant que l’enquête est en cours, voici un résumé de l’incident basé sur ce que nous avons appris à ce jour. »

Le fournisseur a confirmé que l’auteur de la menace n’avait accédé à aucun contenu des messages ni utilisé leur accès pour envoyer des messages aux clients.

Cependant, les journaux des messages volés contiennent des données qui pourraient être utilisées dans des attaques de phishing ciblées pour accéder à des informations sensibles, telles que des informations d’identification d’entreprise.

Les données contenues dans ces journaux comprennent celles d’un employé:

  • Numéro de téléphone
  • Transporteur
  • Données de localisation
  • Date
  • Temps
  • Type de message

Lorsque le fournisseur concerné a découvert la violation, il a invalidé les informations d’identification compromises, analysé les journaux d’activité et informé Cisco en conséquence. Des mesures de sécurité supplémentaires ont également été mises en œuvre pour éviter que des incidents similaires ne se reproduisent à l’avenir.

Le fournisseur a fourni à Cisco Duo tous les journaux de messages exposés, qui peuvent être demandés par e-mail [email protected] pour mieux comprendre la portée de la violation, son impact et la stratégie de défense appropriée à adopter.

Cisco avertit également les clients touchés par cette violation d’être vigilants contre les attaques potentielles d’hameçonnage par SMS ou d’ingénierie sociale utilisant les informations volées.

« Étant donné que l’auteur de la menace a obtenu l’accès aux journaux des messages grâce à une attaque d’ingénierie sociale réussie contre le Fournisseur, veuillez contacter vos clients avec les utilisateurs concernés dont les numéros de téléphone figuraient dans les journaux des messages pour les informer, sans retard injustifié, de cet événement et pour leur conseiller d’être vigilants et de signaler toute attaque d’ingénierie sociale suspectée à l’équipe de réponse aux incidents concernée ou à un autre point de contact désigné pour de telles questions », conclut la notification de l’Équipe de confidentialité des données et de Réponse aux incidents de Cisco.

« Veuillez également envisager d’éduquer vos utilisateurs sur les risques posés par les attaques d’ingénierie sociale et d’enquêter sur toute activité suspecte. »

Le FBI a averti l’année dernière que les acteurs de la menace utilisaient de plus en plus le phishing par SMS et les appels vocaux dans des attaques d’ingénierie sociale pour violer les réseaux d’entreprise.

En 2022, Uber a été piraté après qu’un acteur de la menace a effectué une attaque de fatigue MFA sur un employé, puis les a contactés sur WhatsApp via leurs numéros de téléphone, se faisant passer pour du personnel du service d’assistance informatique. Cela a finalement conduit la cible à permettre aux pirates de se connecter au compte et d’accéder aux systèmes d’Uber.

Cisco n’a pas divulgué le nom du fournisseur et le nombre de clients touchés par cet incident. Breachtrace a contacté Cisco avec d’autres questions mais une réponse n’était pas immédiatement disponible.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *