Twilio, société spécialisée dans l’intégration des fonctionnalités de communication pour les entreprises, a signalé un incident de cybersécurité le 7 août 2022. Celui-ci a fait suite à une attaque par phishing auprès de ses salariés.
125 clients touchés
L’entreprise basée à San Francisco développe des briques logicielles permettant de faciliter l’intégration des fonctionnalités de communication en entreprise dans n’importe quelle application. Le but est de proposer un outil depuis lequel ses clients peuvent gérer et personnaliser les communications avec les clients, que ce soit via WhatsApp, SMS, vidéo, etc. Elle propose également des services d’email-marketing. Twilio revendique plus de 150 000 entreprises clientes dont Facebook, Uber et Deliveroo. Mais également Deezer, les Galeries La Fayette Champs Elysées, Arkea et Evaneos en France.
Twilio a identifié environ 125 clients dont les données ont été consultées par des acteurs malveillants pendant une période limitée. Tous ont été informés du problème. Toutefois, Twilio ajoute continuer son enquête. Si d’autres clients touchés sont identifiés, ils seront immédiatement informés. “Il n’y a aucune preuve que les mots de passe des clients, les jetons d’authentification ou les clés API ont été consultés sans autorisation”ajoute l’entreprise.
Si Twilio ne précise pas les données soumises ont accédé aux hackers, sa politique de confidentialité indique que les informations fournies contiennent les adresses, les détails de paiement, les adresses IP et, dans certains cas, une preuve d’identité, détaille TechCrunch.
Une attaque par phishing
Twilio avoir expliqué un accès non autorisé à des informations liées à “un nombre limité de comptes clients” le 4 août. Cela a été rendu possible grâce à une attaque massive par phishing ayant conduit certains employés à transmettre leurs informations d’identification aux personnes malveillantes. Certains salariés ou anciens salariés ont déclaré avoir reçu des SMS prétendant provenir du service informatique suggérant que le mot de passe à expiré ou que leur emploi du temps avait changé et les incitant à se connecter à une URL gérée par les attaquants. Depuis ce lien ils peuvent récupérer les identifiants de connexion. Les attaquants semblaient avoir la possibilité de faire concorder les noms des personnes avec leur numéro de téléphone.
Les hackers ont ensuite utilisé ces informations pour accéder aux systèmes internes de Twilio et à des données clients. Twilio indique travailler avec les opérateurs américains pour fermer les numéros défectueux, et avec les hébergeurs pour fermer les pages web. Surtout, l’accès aux comptes des employés compromis a été rapidement révoqué une fois la menace détectée.
Twilio ajoute ne pas avoir identifié d’où vient la menace. Cependant, le même attaquant semble avoir créé d’autres pages de phishing en se faisant passer pour d’autres sociétés, rapporte TechCrunch. Mais les effets de ces attaques ne sont pas encore connus.
