A Cisco disse que um dos provedores que usa para enviar mensagens de autenticação multifator (MFA) foi violado por um hacker em 1º de abril.
Em e-mails para clientes, a Cisco disse que o incidente afetou especificamente a Duo – uma empresa de autenticação multifator adquirida em 2018. O invasor violou o sistema de um fornecedor de telefonia que a Duo usa para enviar mensagens MFA por meio de mensagens de texto e chamadas telefônicas para seus clientes.
Os e-mails não informam qual provedor foi atacado, mas explicam que a Cisco está trabalhando com ele para investigar o incidente.
“É nosso entendimento do Provedor que um hacker obteve acesso aos sistemas internos do Provedor, em 1º de abril de 2024, usando as credenciais de um funcionário do Provedor que o hacker obteve ilicitamente por meio de um ataque de phishing e usou esse acesso para baixar um conjunto de Registros de mensagens SMS MFA pertencentes à sua conta Duo”, explicou a equipe de privacidade de dados e resposta a incidentes da Cisco.
“Mais especificamente, o hacker baixou registros de mensagens SMS enviadas a determinados usuários em sua conta Duo entre 1º de março de 2024 e 31 de março de 2024.”
Os logs não continham nenhum conteúdo, mas continham números de telefone, operadoras, países e estados para onde as mensagens foram enviadas, além de outros metadados.
O hacker por trás do incidente não baixou nenhum conteúdo das mensagens nem usou seu acesso ao sistema da empresa para enviar mensagens, disse a Cisco.
Assim que o incidente foi descoberto, a empresa anônima cancelou as credenciais do funcionário e analisou os registros de atividades antes de notificar a Cisco.
A Cisco recebeu uma cópia dos logs de mensagens e os clientes receberão uma cópia dos logs se solicitarem. Duo e Cisco não informaram quantas pessoas foram afetadas e qual provedor foi atacado.
A Duo tem mais de 40.000 clientes e oferece seus serviços a agências governamentais estaduais e federais, bem como a distritos escolares e universidades. Alguns de seus clientes mais importantes incluem Lyft, Yelp, Box e AmeriGas.
Jeff Margolies, da Saviynt, e vários outros especialistas em segurança cibernética alertaram que o incidente foi mais um exemplo de hackers que visam partes importantes da arquitetura de segurança e aproveitam-se de fornecedores terceirizados para interromper os serviços de grandes empresas.
Via - The Record
Kommentare