Autenticação fraca facilitou hack de provedor de emails SendGrid.

Os profissionais de segurança estão expressando surpresa que o provedor de serviço de e-mail Sendgrid não possuía autenticação multifator para proteger as contas de seus clientes, o que pode ter permitido o comprometimento de um grande número de contas, seguido dos dados de venda na darknet.

“Na verdade, é bastante chocante que uma organização que trabalha com clientes empresariais para fins de marketing ainda não tenha a autenticação multifator em vigor para os usuários, e implementá-la como um requisito é uma primeira etapa crítica que deve acontecer com urgência”, disse Torsten George, cibersegurança evangelista da empresa de segurança Centrify.

A controladora da Sendgrid, Twilio, disse ao blogueiro de segurança Brian Krebs que a empresa está em processo de exigir autenticação multifator para todas as suas contas. As contas hackeadas estão sendo usadas em ataques de phishing e malware baseados em e-mail, relata Krebs.

“É positivo ver que a controladora Twilio já está trabalhando nisso”, diz George. “O hack Sendgrid é um lembrete da importância do gerenciamento de identidade para todas as empresas.”

Twilio cria APIs que as empresas usam para ajudá-los a se comunicar com seus clientes por meio de sua plataforma usando e-mail, texto e vídeo, essencialmente tornando a empresa um intermediário no processo de comunicação.

A empresa não divulgou publicamente nenhuma informação sobre o número de contas que foram hackeadas ou como foram comprometidas. Twilio lista Lyft, Airbnb e Netflix entre seus clientes, e MediaPost relata que a empresa assinou um contrato com 28 cidades, estados e universidades para lidar com o rastreamento de contratos para seus programas COVID-19 cobrindo cerca de 150 milhões de pessoas.

Um porta-voz da empresa não foi encontrado imediatamente para comentários adicionais.

Reutilizando credenciais antigas

James McQuiggan, defensor da consciência de segurança da KnowBe4, observa que é importante que empresas e consumidores alterem suas senhas se acreditarem que ela foi comprometida. Ele diz que credenciais roubadas anteriormente podem ter sido usadas para obter acesso às contas do Twilio.

“Os comprometimentos de conta podem ter ocorrido em explorações anteriores e ataques contra organizações violadas que também usam Sendgrid. Considerando que os usuários estão fazendo login com seu e-mail comercial, os cibercriminosos coletaram milhões de contas de e-mail e senha de outros ataques cibernéticos”, disse McQuiggan .

Fraudadores e cibercriminosos consideram certo que as credenciais de login são reutilizadas e podem usar aquelas a que têm acesso para conduzir um ataque de força bruta às contas do Sendgrid, diz ele.

“Sem o MFA, a conta do usuário nunca saberá que alguém está tentando fazer login no Sendgrid com sua conta”, observa McQuiggan.

George acrescenta: “Os clientes Sendgrid devem alterar suas senhas imediatamente, garantindo que sejam exclusivas e complexas.” Eles também devem se certificar de que todas as outras contas que usaram a mesma senha Sendgrid sejam atualizadas. Isso ocorre porque os cibercriminosos usarão senhas roubadas em ataques de preenchimento de credenciais, que usam detalhes violados para invadir outras contas usando as mesmas informações de login. “

Fonte: https://www.govinfosecurity.com/lack-mfa-may-have-enabled-sendgrid-account-compromise-a-14916