Twilio 2022

En août 2022, l’entreprise d’infrastructure de communication Twilio annonce que des attaquants ont réussi à hameçonner plusieurs de ses employés et à utiliser l’accès obtenu pour lire des données clients d’un sous-ensemble des clients de l’entreprise. Les messages de phishing étaient des SMS, envoyés sur les téléphones personnels des employés, prétendant venir de l’IT de Twilio et invitant le destinataire à se connecter via une page de single sign-on convaincante.

Une longue campagne avec une marque

Le même groupe — suivi par les chercheurs sous les noms 0ktapus ou Scatter Swine, incarnation précoce de ce qui sera ensuite réorganisé en Scattered Spider — déroule le même manuel contre plus de cent trente entreprises sur la même période. Les pages de phishing utilisent un kit conçu pour cloner les portails SSO aux couleurs d’Okta de chaque cible. La bande récolte les identifiants, puis les utilise en temps réel pour se connecter et capturer les jetons de session.

La conséquence Signal

Twilio se trouvait alimenter la vérification de numéros de téléphone de Signal. Depuis l’intérieur de la console client de Twilio, les attaquants ont pu réenregistrer les comptes Signal d’environ 1 900 utilisateurs — y compris, brièvement, des comptes appartenant à des figures publiques et des journalistes. Signal a poussé une notification in-app à chaque utilisateur concerné et a souligné que le contenu des messages restait chiffré de bout en bout. Une autre filiale de Twilio, Authy, a émis des avis similaires.

Ce que la chronique retient

Twilio 2022 est la démonstration canonique que la pile SaaS moderne fait des fournisseurs d’identité amont et des API de communication des dépendances à point unique de défaillance. Le rayon d’explosion du phishing d’un seul ingénieur Twilio ne se limitait pas à Twilio. C’était l’ensemble des produits dont le flux de récupération de compte passait par les tuyaux de Twilio.