Cisco Duo alerta que vazamento de dados de terceiros expôs registros de MFA via SMS
16 de Abril de 2024

A equipe de segurança da Cisco Duo alerta que hackers roubaram alguns registros de VoIP e SMS dos clientes para mensagens de autenticação multifator (MFA) em um ciberataque ao seu provedor de telefonia.

A Cisco Duo é um serviço de autenticação multifator e Single Sign-On usado por corporações para fornecer acesso seguro a redes internas e aplicações corporativas.

A homepage da Duo relata que ela atende 100.000 clientes e lida com mais de um bilhão de autenticações mensalmente, com mais de 10.000.000 de downloads no Google Play.

Em emails enviados aos clientes, a Cisco Duo diz que um provedor não identificado, que gerencia as mensagens de MFA da empresa via SMS e VoIP, foi comprometido em 1º de abril de 2024.

O aviso explica que um ator de ameaça obteve credenciais de funcionários por meio de um ataque de phishing e, em seguida, usou essas credenciais para ganhar acesso aos sistemas do provedor de telefonia.

O intruso então baixou registros de mensagens MFA de SMS e VoIP associados a contas específicas da Duo entre 1º de março de 2024 e 31 de março de 2024.

"Estamos escrevendo para informá-lo de um incidente envolvendo um de nossos fornecedores de telefonia da Duo (o “Fornecedor”) que a Duo usa para enviar mensagens de autenticação multifator (MFA) via SMS e VoIP para seus clientes", lê-se no aviso enviado aos clientes impactados.

"A Cisco está trabalhando ativamente com o Fornecedor para investigar e abordar o incidente. Embora a investigação esteja em andamento, a seguir está um resumo do incidente com base no que aprendemos até agora."

O fornecedor confirmou que o ator de ameaça não acessou nenhum conteúdo das mensagens ou usou seu acesso para enviar mensagens aos clientes.

No entanto, os registros de mensagens roubados contêm dados que poderiam ser usados em ataques de phishing direcionados para ganhar acesso a informações sensíveis, como credenciais corporativas.

Os dados contidos nestes registros incluem:

- Número de telefone
- Operadora
- Dados de localização
- Data
- Hora
- Tipo de mensagem

Quando o fornecedor impactado descobriu a violação, invalidou as credenciais comprometidas, analisou os registros de atividade e notificou a Cisco de acordo.

Medidas de segurança adicionais também foram implementadas para prevenir incidentes semelhantes no futuro.

O fornecedor forneceu à Cisco Duo todos os registros de mensagens expostos, que podem ser solicitados por e-mail em [email protected] para ajudar a entender melhor o alcance da violação, seu impacto e a estratégia de defesa apropriada a ser adotada.

A Cisco também alerta os clientes impactados por esta violação para estarem vigilantes contra possíveis ataques de phishing via SMS ou ataques de engenharia social usando as informações roubadas.

"Como o ator de ameaça obteve acesso aos registros de mensagens através de um ataque de engenharia social bem-sucedido no Fornecedor, por favor, entre em contato com seus clientes com usuários afetados cujos números de telefone estavam contidos nos registros de mensagens para notificá-los, sem demora indevida, deste evento e para aconselhá-los a estar vigilantes e relatar qualquer ataque de engenharia social suspeito à equipe de resposta a incidentes relevante ou outro ponto de contato designado para tais assuntos", conclui a notificação da Equipe de Privacidade de Dados e Resposta a Incidentes da Cisco.

"Por favor, considere também educar seus usuários sobre os riscos apresentados por ataques de engenharia social e investigar qualquer atividade suspeita", finaliza a notificação da Cisco.

O FBI alertou no ano passado que atores de ameaças estavam cada vez mais usando phishing via SMS e chamadas de voz em ataques de engenharia social para violar redes corporativas.

Em 2022, a Uber foi violada depois que um ator de ameaça realizou um ataque de fadiga MFA em um funcionário e, em seguida, contatou-os via WhatsApp pelos seus números de telefone, fingindo ser pessoal da ajuda de TI.

Isso eventualmente levou o alvo a permitir que os hackers fizessem login na conta e ganhassem acesso aos sistemas da Uber.

A Cisco não divulgou o nome do fornecedor e o número de clientes impactados por este incidente.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...