De acordo com Coincu, a empresa de software Retool divulgou detalhes de um ataque cibernético que comprometeu 27 contas criptografadas de clientes, resultando em perdas de milhões de dólares. A violação, que ocorreu em 27 de agosto de 2023, expôs uma vulnerabilidade crítica associada ao Google Authenticator.
O ataque explorou a função de sincronização em nuvem do Google Authenticator, transformando efetivamente a autenticação multifator em um sistema de fator único. O invasor obteve o controle de uma conta Okta e posteriormente assumiu o controle da conta associada do Google, que continha todas as senhas de uso único (OTPs) armazenadas no Google Authenticator. Esse recurso de sincronização, anteriormente considerado seguro, revelou-se um novo vetor de ataque.
O incidente começou com um ataque de phishing por SMS direcionado aos funcionários da Retool, onde os atores da ameaça se passaram por membros da equipe de TI. Os funcionários foram forçados a clicar em um link aparentemente legítimo para resolver um problema relacionado à folha de pagamento. Uma falha de segurança adicional surgiu quando um funcionário ativou o recurso de sincronização em nuvem do Google Authenticator, concedendo aos agentes da ameaça acesso elevado aos sistemas administrativos internos. Posteriormente, os invasores alteraram endereços de e-mail e redefiniram senhas de 27 clientes da indústria de criptografia, resultando em perdas substanciais, notadamente o roubo de US$ 15 milhões em criptomoedas do Fortress Trust, conforme relatado pela CoinDesk.
Embora a identidade exata dos hackers permaneça desconhecida, suas táticas se assemelham às de um ator de ameaça com motivação financeira conhecido como Scattered Spider, reconhecido por empregar técnicas sofisticadas de phishing. A Retool garante que a violação não concedeu acesso não autorizado a contas locais ou gerenciadas e coincidiu com a migração de logins da empresa para o Okta.