Menurut Coincu, perusahaan perangkat lunak Retool telah mengungkapkan rincian serangan siber yang menyusupi 27 akun pelanggan kripto, yang mengakibatkan kerugian jutaan dolar. Pelanggaran yang terjadi pada 27 Agustus 2023 mengungkap kerentanan kritis yang terkait dengan Google Authenticator.
Serangan tersebut mengeksploitasi fungsi sinkronisasi cloud Google Authenticator, yang secara efektif mengubah autentikasi multifaktor menjadi sistem faktor tunggal. Penyerang menguasai akun Okta dan kemudian mengambil alih akun Google terkait, yang menyimpan semua kata sandi satu kali (OTP) yang disimpan di Google Authenticator. Fitur sinkronisasi ini, yang sebelumnya dianggap aman, ternyata menjadi vektor serangan baru.
Insiden tersebut bermula dari serangan SMS phishing yang ditujukan kepada karyawan Retool, dimana pelaku ancaman menyamar sebagai anggota tim IT. Karyawan dipaksa untuk mengklik link yang tampaknya sah untuk mengatasi masalah terkait penggajian. Kelemahan keamanan tambahan muncul ketika seorang karyawan mengaktifkan fitur sinkronisasi cloud Google Authenticator, yang memberikan akses lebih tinggi kepada pelaku ancaman ke sistem admin internal. Para penyerang kemudian mengubah alamat email dan mengatur ulang kata sandi untuk 27 pelanggan di industri kripto, yang mengakibatkan kerugian besar, terutama pencurian mata uang kripto senilai $15 juta dari Fortress Trust, seperti yang dilaporkan oleh CoinDesk.
Meskipun identitas sebenarnya dari para peretas masih dirahasiakan, taktik mereka mirip dengan aktor ancaman bermotivasi finansial yang dikenal sebagai Scattered Spider, yang dikenal karena menggunakan teknik phishing yang canggih. Retool memastikan bahwa pelanggaran tersebut tidak memberikan akses tidak sah ke akun lokal atau akun terkelola dan bertepatan dengan migrasi login perusahaan ke Okta.