Нью-йоркская ad tech компания Optimizely уведомила неопределенное число клиентов о взломе данных после того, как злоумышленники скомпрометировали часть ее систем в результате атаки с использованием голосового фишинга.
В Optimizely работает около 1500 сотрудников в 21 офисе по всему миру, а в число ее клиентов входят более 10 000 компаний, включая известные бренды, такие как H&M, PayPal, Zoom, Toyota, Vodafone, Shell, Salesforce и Nike.
В письмах об уведомлении о взломе, отправленных пострадавшим клиентам, компания сообщила, что злоумышленники связались с ней 11 февраля, заявив о доступе к ее системам.
Optimizely также сообщила изданию BleepingComputer, что злоумышленники взломали некоторые из ее систем и похитили то, что компания охарактеризовала как «базовую контактную информацию для бизнеса».
«Злоумышленник получил доступ к системам Optimizely посредством сложной атаки голосового фишинга, но не смог повысить привилегии, установить программное обеспечение или создать какие-либо бэкдоры в среде Optimizely, и у нас нет доказательств того, что злоумышленник смог получить доступ к конфиденциальным данным клиентов или личной информации, выходящей за рамки базовой контактной информации для бизнеса», — говорится в заявлении.
Optimizely также отметила, что «инцидент был ограничен определенными внутренними бизнес-системами, записями в нашей CRM и ограниченным набором внутренних документов, используемых для бэк-офисных операций», и добавила, что ее «бизнес-операции продолжаются без перебоев».
Компания также предупредила клиентов о необходимости остерегаться атак, которые могут использовать часть украденных данных для дальнейших фишинговых попыток, в ходе которых могут использоваться звонки, текстовые сообщения или электронные письма с запросом паролей, кодов MFA или других учетных данных.
Связи с ShinyHunters
Хотя Optimizely не раскрыла, сколько клиентов пострадали от утечки данных, и пока не назвала злоумышленника, стоящего за атакой, она сообщила пострадавшим клиентам, что «полученное нами сообщение соответствует поведению слабо аффилированной группы, которая использует изощренные и агрессивные тактики социальной инженерии, чаще всего включающие голосовой фишинг, для попыток получить доступ к системам своих жертв».
Это наводит на мысль, что злоумышленники, вероятно, являются частью вымогательской операции ShinyHunters, которая недавно заявила о подобных взломах систем Canada Goose, Panera Bread, Betterment, SoundCloud, PornHub, финтех-компании Figure и гиганта онлайн-знакомств Match Group (владеющего множеством популярных сервисов знакомств, включая Tinder, Hinge, Meetic, Match.com и OkCupid).
Хотя не все эти взломы являются частью одной и той же кампании, системы некоторых жертв были скомпрометированы в ходе кампании голосового фишинга (vishing), направленной на учетные записи единого входа (SSO) в Microsoft, Okta и Google в более чем 100 известных организациях.
В ходе этих атак злоумышленники выдают себя за сотрудников службы ИТ-поддержки компаний-целей, звонят сотрудникам и обманом заставляют их вводить учетные данные и коды многофакторной аутентификации (MFA) на фишинговых сайтах, имитирующих порталы входа в систему их компаний.
Как впервые сообщило издание BleepingComputer, недавно злоумышленники также изменили свои атаки социальной инженерии, начав использовать vishing с кодами устройств, злоупотребляя законным потоком предоставления разрешений для устройств OAuth 2.0 для получения токенов аутентификации Microsoft Entra.
После получения доступа они захватывают учетную запись SSO жертвы и получают доступ к подключенным корпоративным сервисам, включая Salesforce, Microsoft 365, Google Workspace, Zendesk, Dropbox, SAP, Slack, Adobe, Atlassian и многим другим.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sergiu Gatlan
