Potrivit Coincu, compania de software Retool a dezvăluit detalii despre un atac cibernetic care a compromis 27 de conturi de clienți cripto, soldând cu pierderi de milioane de dolari. Încălcarea, care a avut loc pe 27 august 2023, a expus o vulnerabilitate critică asociată cu Google Authenticator.
Atacul a exploatat funcția de sincronizare în cloud Google Authenticator, transformând efectiv autentificarea cu mai mulți factori într-un sistem cu un singur factor. Atacatorul a câștigat controlul asupra unui cont Okta și, ulterior, a preluat controlul asupra contului Google asociat, care deținea toate parolele unice (OTP) stocate în Google Authenticator. Această caracteristică de sincronizare, considerată anterior sigură, s-a dovedit a fi un nou vector de atac.
Incidentul a început cu un atac de phishing prin SMS care vizează angajații Retool, unde actorii amenințărilor s-au prezentat ca membri ai echipei IT. Angajații au fost forțați să facă clic pe un link aparent legitim pentru a rezolva o problemă legată de salarizare. O defecțiune suplimentară de securitate a apărut atunci când un angajat a activat funcția de sincronizare în cloud a Google Authenticator, oferind actorilor amenințărilor acces crescut la sistemele interne de administrare. Atacatorii au schimbat ulterior adresele de e-mail și au resetat parolele pentru 27 de clienți din industria cripto, ceea ce a dus la pierderi substanțiale, în special furtul de criptomonede în valoare de 15 milioane de dolari de la Fortress Trust, după cum a raportat CoinDesk.
În timp ce identitatea exactă a hackerilor rămâne nedezvăluită, tacticile lor seamănă cu cele ale unui actor de amenințări motivat financiar cunoscut sub numele de Scattered Spider, recunoscut pentru că folosește tehnici sofisticate de phishing. Retool asigură că încălcarea nu a acordat acces neautorizat la conturile locale sau gestionate și a coincis cu migrarea autentificărilor companiei la Okta.