تستدعي شركة أمنية إحدى الميزات الموجودة في تطبيق المصادقة من Google والتي تقول إنها جعلت الاختراق الأخير للشبكة الداخلية أسوأ بكثير.
وجهت شركة Retool، التي تساعد العملاء على تأمين منصات تطوير البرمجيات الخاصة بهم، الانتقادات يوم الأربعاء في بريد الكشف عن حل وسط لنظام دعم العملاء الخاص بها. أعطى الاختراق للمهاجمين إمكانية الوصول المسؤول إلى حسابات 27 عميلاً، جميعهم في صناعة العملات المشفرة. بدأ الهجوم عندما قام أحد موظفي Retool بالنقر فوق رابط في رسالة نصية يُزعم أنها واردة من أحد أعضاء فريق تكنولوجيا المعلومات بالشركة.
“أنماط داكنة”
وحذر من أن الموظف لن يتمكن من المشاركة في التسجيل المفتوح للشركة لتغطية الرعاية الصحية حتى يتم إصلاح مشكلة الحساب. وصل النص بينما كان Retool بصدد نقل منصة تسجيل الدخول الخاصة به إلى شركة الأمان Okta. (كشفت شركة Okta نفسها عن الاختراق الذي تعرض له أحد مهندسي دعم العملاء التابعين لجهات خارجية العام الماضيوتسوية أربعة من حسابات مستخدمي Okta المتميزين لعملائها هذا الشهر، لكن إشعار الأربعاء لم يشر إلى أي من الحدثين.)
لم يتخذ معظم موظفي Retool المستهدفين أي إجراء، ولكن قام أحدهم بتسجيل الدخول إلى الموقع المرتبط، واستنادًا إلى صياغة الكشف المكتوب بشكل سيئ، من المفترض أنه قدم كلمة مرور وكلمة مرور مؤقتة لمرة واحدة، أو TOTP، من Google Authenticator.
بعد فترة وجيزة، تلقى الموظف مكالمة هاتفية من شخص ادعى أنه عضو في فريق تكنولوجيا المعلومات وكان على دراية بـ “مخطط الطابق للمكتب وزملاء العمل والعمليات الداخلية لشركتنا”. أثناء المكالمة، قدم الموظف “رمزًا إضافيًا متعدد العوامل”. أكد الكشف أنه في هذه المرحلة، أدت ميزة المزامنة التي أضافتها Google إلى أداة المصادقة الخاصة بها في أبريل إلى تضخيم خطورة الانتهاك لأنها سمحت للمهاجمين باختراق ليس فقط حساب الموظف ولكن أيضًا مجموعة من حسابات الشركة الأخرى.
“كان رمز OTP الإضافي الذي تمت مشاركته عبر المكالمة أمرًا بالغ الأهمية، لأنه سمح للمهاجم بإضافة أجهزته الشخصية إلى حساب Okta الخاص بالموظف، مما سمح له بإنتاج Okta MFA الخاص به من تلك النقطة فصاعدًا،” رئيس قسم الهندسة في Retool، سنير كوديش. كتب. “وهذا مكنهم من الحصول على جلسة GSuite نشطة على هذا الجهاز. أصدرت جوجل مؤخرًا ميزة مزامنة Google Authenticator يقوم بمزامنة رموز MFA مع السحابة. مثل وأشار هاكر نيوز، فهذا غير آمن إلى حد كبير، لأنه إذا تم اختراق حسابك في Google، فستجد الآن رموز MFA الخاصة بك.
المنشور غير واضح في عدة أشياء. على سبيل المثال، من خلال “رمز OTP”، هل كان Kodesh يعني كلمة مرور لمرة واحدة يتم إرجاعها بواسطة Google Authenticator، أو السلسلة الطويلة من الأرقام التي تشكل بذرة التشفير المستخدمة لإنشاء OTPs، أو أي شيء آخر تمامًا؟ وفي رسالة بالبريد الإلكتروني تطلب التوضيح، رفضت كوديش التعليق، مستشهدة بالتحقيق المستمر الذي تجريه سلطات إنفاذ القانون.