Retool erleidet Social-Engineering-Verletzung

Retool macht für den Erfolg des Hacks eine neue Funktion in Google Authenticator verantwortlich - OTP Cloud Back-up.

‍

Im April 2023 veröffentlichten wir einen Artikel mit dem Titel "Ist die neue OTP-Backup-Funktion von Google Authenticator sicher? In diesem Artikel haben wir die neue Cloud-Funktion untersucht und die Frage gestellt, ob sie sicher ist. Die Backup-Funktion soll Nutzern eine Möglichkeit bieten, wieder auf ihre Konten zuzugreifen, wenn sie das Telefon verlieren, auf dem Authenticator installiert ist.

Theoretisch bietet dies den Nutzern ein besseres Erlebnis, und es stimmt, dass das zusätzliche OTP in Kombination mit einem auswendig gelernten Passwort eine zusätzliche Sicherheitsebene darstellt, die es für Hacker schwieriger macht. Es macht einen Angriff zwar komplexer, kann ihn aber dennoch nicht verhindern. Das größte Problem bei der Speicherung von OTP-Codes ist, dass ein Hacker nur das Passwort des Google-Kontos des Nutzers stehlen muss, um alle OTP-Geheimnisse auf dem Gerät wiederherzustellen. Der Angreifer kann auch das OTP-Geheimnis zurücksetzen, um ein Konto vollständig zu übernehmen.

Was geschah im Fall von Retool?

Die Hacker nutzten Social-Engineering-Taktiken, um Mitarbeiter von Retool anzugreifen, und wurden leider fündig. Der Angriff begann mit einer Phishing-SMS, die, sobald sie angeklickt wurde, den ahnungslosen Mitarbeiter auf ein gefälschtes Login-Portal mit einem MFA Anmeldedaten Login-Formular umleitete.

Von hier aus gelang es den Angreifern, den Login Anmeldedaten des Okta-Kontos des Retool-Mitarbeiters zu stehlen. Sie meldeten sich an und kontaktierten dann das Opfer per Telefon mit einer gefälschten Stimme und brachten es dazu, den zusätzlichen MFA-Code einzugeben, woraufhin der Angreifer sein eigenes Gerät zum Okta-Konto des Mitarbeiters hinzufügte. 

"Die Tatsache, dass Google Authenticator mit der Cloud synchronisiert wird, ist ein neuer Angriffsvektor. Was wir ursprünglich implementiert hatten, war eine Multi-Faktor-Authentifizierung. Doch durch dieses Google-Update wurde die zuvor mehrstufige Authentifizierung (für Administratoren) stillschweigend zu einer Ein-Faktor-Authentifizierung, da die Kontrolle über das Okta-Konto zur Kontrolle über das Google-Konto führte, was wiederum zur Kontrolle über alle in Google Authenticator gespeicherten OTPs führte. Wir sind der festen Überzeugung, dass Google entweder seine Dark Patterns in Google Authenticator abschaffen sollte (die das Speichern von MFA-Codes in der Cloud fördern) oder zumindest Organisationen die Möglichkeit geben sollte, diese zu deaktivieren. Wir haben dieses Feedback bereits an Google weitergegeben." Sagte Snir Kodesh - Leiter der Technik bei Retool.

Die Auswirkungen der Sicherheitslücke 

Der Angreifer verschaffte sich über das VPN von Retool mithilfe der OTPs und der Okta-Sitzung Zugang. Sie waren in der Lage, E-Mails für Benutzer zu ändern und Passwörter zurückzusetzen, was zu einer vollständigen Übernahme der Konten von fast dreißig Kunden aus der Kryptoindustrie führte. 

Lösungen für Credential Phishing und alle passwortbasierten Angriffe

OTPs und Passwörter sind nicht mehr zweckmäßig. Die Bereitstellung von Backups mag zwar kurzfristig bei den Nutzern beliebt sein, ist aber auf lange Sicht nicht sicher. Wie üblich, wird das falsche Problem gelöst. Die einzige Möglichkeit, alle Phishing-Angriffe zu verhindern, besteht darin, Passwörter, Geheimnisse und alle Phishing-Faktoren wie OTPs, QR, Push oder SMS zu entfernen, und zwar für den gesamten Lebenszyklus, nicht nur für den Akt der Authentifizierung. 

Besuchen Sie AuthN by IDEE, um mehr darüber zu erfahren, wie wir Ihnen helfen können, den Kampf gegen passwortbasierte Angriffe und Credential Phishing mit phish-proof MFA zu gewinnen.