.
Uma empresa de segurança está destacando um recurso do aplicativo autenticador do Google que, segundo ela, tornou muito pior uma violação recente da rede interna.
A Retool, que ajuda os clientes a proteger suas plataformas de desenvolvimento de software, fez a crítica na quarta-feira em uma postagem divulgando um comprometimento de seu sistema de suporte ao cliente. A violação deu aos invasores acesso responsável às contas de 27 clientes, todos do setor de criptomoedas. O ataque começou quando um funcionário da Retool clicou em um link em uma mensagem de texto que supostamente vinha de um membro da equipe de TI da empresa.
“Padrões escuros”
Alertou que o funcionário não poderia participar das inscrições abertas da empresa para cobertura de saúde até que um problema de conta fosse resolvido. O texto chegou enquanto a Retool estava transferindo sua plataforma de login para a empresa de segurança Okta. (A própria Okta divulgou a violação de um de seus engenheiros terceirizados de suporte ao cliente no ano passado e o comprometimento de quatro contas de superusuário Okta de seus clientes este mês, mas a notificação de quarta-feira não fez menção a nenhum dos eventos.)
A maioria dos funcionários da Retool visados não tomou nenhuma ação, mas um deles fez login no site vinculado e, com base no texto da divulgação mal escrita, presumivelmente forneceu uma senha e uma senha temporária de uso único, ou TOTP, do autenticador do Google.
Pouco depois, o funcionário recebeu um telefonema de alguém que afirmava ser membro da equipe de TI e estava familiarizado com a “planta do escritório, colegas de trabalho e processos internos da nossa empresa”. Durante a ligação, o funcionário forneceu um “código multifatorial adicional”. Foi neste ponto, afirma a divulgação, que um recurso de sincronização que o Google adicionou ao seu autenticador em abril ampliou a gravidade da violação porque permitiu que os invasores comprometessem não apenas a conta do funcionário, mas também uma série de outras contas da empresa.
“O token OTP adicional compartilhado durante a chamada foi crítico, porque permitiu ao invasor adicionar seu próprio dispositivo pessoal à conta Okta do funcionário, o que lhes permitiu produzir seu próprio Okta MFA daquele ponto em diante”, disse o chefe de engenharia da Retool, Snir Kodesh. escreveu. “Isso permitiu que eles tivessem uma sessão ativa do GSuite naquele dispositivo. O Google lançou recentemente o recurso de sincronização Google Authenticator que sincroniza códigos MFA com a nuvem. Como observou o Hacker News, isso é altamente inseguro, pois se sua conta do Google estiver comprometida, seus códigos MFA também estarão.”
A postagem não é clara sobre uma variedade de coisas. Por exemplo, por “token OTP”, Kodesh quis dizer uma senha de uso único retornada pelo autenticador do Google, a longa sequência de números que forma a semente criptográfica usada para gerar OTPs ou algo totalmente diferente? Em um e-mail solicitando esclarecimentos, Kodesh se recusou a comentar, citando uma investigação em andamento pelas autoridades policiais.
.
