Selon Coincu, la société de logiciels Retool a divulgué les détails d'une cyberattaque qui a compromis 27 comptes clients cryptographiques, entraînant des millions de dollars de pertes. La violation, survenue le 27 août 2023, a révélé une vulnérabilité critique associée à Google Authenticator.
L'attaque a exploité la fonction de synchronisation cloud de Google Authenticator, transformant ainsi l'authentification multifacteur en un système à facteur unique. L'attaquant a pris le contrôle d'un compte Okta, puis du compte Google associé, qui contenait tous les mots de passe à usage unique (OTP) stockés dans Google Authenticator. Cette fonctionnalité de synchronisation, auparavant considérée comme sécurisée, s’est avérée être un nouveau vecteur d’attaque.
L'incident a commencé par une attaque de phishing par SMS visant les employés de Retool, dans laquelle les acteurs malveillants se faisaient passer pour des membres de l'équipe informatique. Les employés ont été obligés de cliquer sur un lien apparemment légitime pour résoudre un problème lié à la paie. Une faille de sécurité supplémentaire est apparue lorsqu'un employé a activé la fonctionnalité de synchronisation dans le cloud de Google Authenticator, accordant aux acteurs malveillants un accès élevé aux systèmes d'administration internes. Les attaquants ont ensuite modifié les adresses e-mail et réinitialisé les mots de passe de 27 clients du secteur de la cryptographie, entraînant des pertes substantielles, notamment le vol de 15 millions de dollars de cryptomonnaie à Fortress Trust, comme le rapporte CoinDesk.
Bien que l'identité exacte des pirates informatiques reste confidentielle, leurs tactiques ressemblent à celles d'un acteur menaçant motivé par des raisons financières, connu sous le nom de Scattered Spider, reconnu pour son utilisation de techniques de phishing sophistiquées. Retool assure que la violation n'a pas accordé d'accès non autorisé aux comptes sur site ou gérés et a coïncidé avec la migration des connexions de l'entreprise vers Okta.