Podle Coincu softwarová společnost Retool zveřejnila podrobnosti o kybernetickém útoku, který kompromitoval 27 krypto zákaznických účtů, což vedlo ke ztrátám v milionech dolarů. Porušení, ke kterému došlo 27. srpna 2023, odhalilo kritickou zranitelnost spojenou s aplikací Google Authenticator.
Útok zneužil funkci cloudové synchronizace Google Authenticator a efektivně přeměnil vícefaktorovou autentizaci na jednofaktorový systém. Útočník získal kontrolu nad účtem Okta a následně se zmocnil kontroly nad přidruženým účtem Google, který obsahoval všechna jednorázová hesla (OTP) uložená v aplikaci Google Authenticator. Tato synchronizační funkce, dříve považovaná za bezpečnou, se ukázala jako nový útočný vektor.
Incident začal SMS phishingovým útokem zaměřeným na zaměstnance Retool, kde aktéři hrozeb vystupovali jako členové IT týmu. Zaměstnanci byli nuceni kliknout na zdánlivě legitimní odkaz, aby řešili problém týkající se mezd. Další bezpečnostní chyba se objevila, když zaměstnanec aktivoval funkci cloudové synchronizace aplikace Google Authenticator, která aktérům hrozeb poskytla zvýšený přístup k interním administrátorským systémům. Útočníci následně změnili e-mailové adresy a resetovali hesla pro 27 zákazníků v kryptoprůmyslu, což mělo za následek značné ztráty, zejména krádež kryptoměny v hodnotě 15 milionů dolarů od společnosti Fortress Trust, jak uvádí CoinDesk.
I když přesná identita hackerů zůstává neznámá, jejich taktika se podobá taktice finančně motivovaného aktéra hrozeb známého jako Scattered Spider, který je známý používáním sofistikovaných phishingových technik. Retool ujišťuje, že porušení neudělilo neoprávněný přístup k místním nebo spravovaným účtům a shodovalo se s migrací přihlášení společnosti na Okta.