Retool Discloses Crypto Theft from 27 Customers Due to Google Authenticator Flaw

Binance News · 2023-09-18T09:57:16.000Z

According to Coincu, software company Retool has disclosed details of a cyberattack that compromised 27 crypto customer accounts, resulting in millions of dollars in losses. The breach, which occurred on August 27, 2023, exposed a critical vulnerability associated with Google Authenticator. The attack exploited the Google Authenticator cloud sync function, effectively transforming multi-factor authentication into a single-factor system. The attacker gained control of an Okta account and subsequently seized control of the associated Google account, which held all one-time passwords (OTPs) stored in Google Authenticator. This synchronization feature, previously considered secure, turned out to be a novel attack vector. The incident began with an SMS phishing attack aimed at Retool employees, where threat actors posed as members of the IT team. Employees were forced to click on a seemingly legitimate link to address a payroll-related issue. An additional security flaw emerged when an employee enabled Google Authenticator's cloud sync feature, granting threat actors elevated access to internal admin systems. The attackers subsequently changed email addresses and reset passwords for 27 customers in the crypto industry, resulting in substantial losses, notably the theft of $15 million worth of cryptocurrency from Fortress Trust, as reported by CoinDesk. While the exact identity of the hackers remains undisclosed, their tactics resemble those of a financially motivated threat actor known as Scattered Spider, recognized for employing sophisticated phishing techniques. Retool assures that the breach did not grant unauthorized access to on-premises or managed accounts and coincided with the company's migration of logins to Okta.

Saskaņā ar Coincu teikto, programmatūras uzņēmums Retool ir atklājis informāciju par kiberuzbrukumu, kas apdraudēja 27 kriptovalūtu klientu kontus, kā rezultātā tika nodarīti miljoniem dolāru zaudējumi. Pārkāpums, kas notika 2023. gada 27. augustā, atklāja kritisku ievainojamību, kas saistīta ar Google autentifikatoru.
Uzbrukumā tika izmantota Google Authenticator mākoņa sinhronizācijas funkcija, efektīvi pārveidojot daudzfaktoru autentifikāciju viena faktora sistēmā. Uzbrucējs ieguva kontroli pār Okta kontu un pēc tam pārņēma kontroli pār saistīto Google kontu, kurā bija visas Google autentifikatorā saglabātās vienreizējās paroles (OTP). Šī sinhronizācijas funkcija, kas iepriekš tika uzskatīta par drošu, izrādījās jauns uzbrukuma vektors.
Incidents sākās ar SMS pikšķerēšanas uzbrukumu, kas bija vērsts pret Retool darbiniekiem, kur draudu dalībnieki uzdevās kā IT komandas locekļi. Darbinieki bija spiesti noklikšķināt uz šķietami likumīgas saites, lai risinātu ar algu saistītu problēmu. Papildu drošības trūkums parādījās, kad darbinieks iespējoja Google autentifikatora mākoņa sinhronizācijas funkciju, nodrošinot apdraudējuma dalībniekiem paaugstinātu piekļuvi iekšējām administrēšanas sistēmām. Pēc tam uzbrucēji nomainīja e-pasta adreses un atiestatīja paroles 27 klientiem kriptovalūtu nozarē, kā rezultātā tika nodarīti ievērojami zaudējumi, jo īpaši kriptovalūtas zādzība no Fortress Trust 15 miljonu ASV dolāru vērtībā, kā ziņo CoinDesk.
Lai gan precīza hakeru identitāte joprojām netiek atklāta, viņu taktika atgādina finansiāli motivēta draudu izpildītāja, kas pazīstams kā Izkaisītais zirneklis, taktiku, kas ir atzīts par sarežģītu pikšķerēšanas paņēmienu izmantošanu. Retool apliecina, ka pārkāpums nepiešķīra nesankcionētu piekļuvi lokālajiem vai pārvaldītajiem kontiem un sakrita ar uzņēmuma pieteikumvārdu migrāciju uz Okta.

Retool atklāj kriptovalūtu zādzību no 27 klientiem Google autentifikatora kļūdas dēļ

Apskati vairāk satura no autora

Jaunākās ziņas