Retool revela el robo de criptomonedas de 27 clientes debido a una falla del autenticador de Google

Según Coincu, la empresa de software Retool ha revelado detalles de un ciberataque que comprometió 27 cuentas de clientes criptográficos, lo que provocó pérdidas por millones de dólares. La violación, que ocurrió el 27 de agosto de 2023, expuso una vulnerabilidad crítica asociada con Google Authenticator.

El ataque aprovechó la función de sincronización en la nube de Google Authenticator, transformando efectivamente la autenticación multifactor en un sistema de un solo factor. El atacante obtuvo el control de una cuenta de Okta y posteriormente tomó el control de la cuenta de Google asociada, que contenía todas las contraseñas de un solo uso (OTP) almacenadas en Google Authenticator. Esta característica de sincronización, que antes se consideraba segura, resultó ser un nuevo vector de ataque.

El incidente comenzó con un ataque de phishing por SMS dirigido a empleados de Retool, donde los actores de amenazas se hicieron pasar por miembros del equipo de TI. Los empleados se vieron obligados a hacer clic en un enlace aparentemente legítimo para abordar un problema relacionado con la nómina. Una falla de seguridad adicional surgió cuando un empleado habilitó la función de sincronización en la nube de Google Authenticator, otorgando a los actores de amenazas un acceso elevado a los sistemas de administración internos. Posteriormente, los atacantes cambiaron las direcciones de correo electrónico y restablecieron las contraseñas de 27 clientes de la industria de la criptografía, lo que provocó pérdidas sustanciales, en particular el robo de 15 millones de dólares en criptomonedas de Fortress Trust, según informó CoinDesk.

Si bien la identidad exacta de los piratas informáticos sigue sin revelarse, sus tácticas se parecen a las de un actor de amenazas con motivación financiera conocido como Scattered Spider, reconocido por emplear sofisticadas técnicas de phishing. Retool asegura que la infracción no otorgó acceso no autorizado a cuentas locales o administradas y coincidió con la migración de inicios de sesión de la empresa a Okta.