Retool erleidet Social-Engineering-Angriff

Retool macht eine neue Funktion in Google Authenticator - OTP Cloud Back-up - für den Erfolg des Hacks verantwortlich.

‍

Wir haben bereits im April 2023 einen Artikel mit dem Titel 'VeröffentlichtIstdie neue OTP-Backup-Funktion von Google Authenticator sicher? ' In dem Artikel haben wir die neue Cloud-Funktion untersucht und die Frage gestellt, ob sie sicher ist. Die Backup-Funktion soll Benutzern die Möglichkeit bieten, wieder auf ihre Konten zuzugreifen, wenn sie das Telefon verlieren, auf dem Authenticator installiert ist.

Theoretisch bot dies den Benutzern eine bessere Erfahrung, und es stimmt, dass das zusätzliche OTP, wenn es in Kombination mit einem auswendig gelernten Passwort verwendet wird, eine zusätzliche Sicherheitsebene bietet, was es für Hacker schwieriger macht. Es macht einen Angriff komplexer, kann ihn aber immer noch nicht verhindern. Darüber hinaus besteht das größte Problem beim Speichern von OTP-Codes darin, dass ein Hacker lediglich das Passwort des Google-Kontos des Nutzers stehlen muss, um alle OTP-Geheimnisse auf seinem Gerät wiederherzustellen. Der Angreifer kann das OTP-Geheimnis auch zurücksetzen, um ein Konto vollständig zu übernehmen.

Was ist im Fall von Retool passiert?

Hacker nutzten Social-Engineering-Taktiken, um Retool-Mitarbeiter ins Visier zu nehmen, und wurden leider gebissen. Der Angriff begann mit einer Phishing-Textnachricht, die, sobald sie angeklickt wurde, den ahnungslosen Mitarbeiter auf ein gefälschtes Anmeldeportal umleitete, das ein MFA-Anmeldeformular enthielt.

Von hier aus gelang es den Angreifern, die Anmeldeinformationen des Okta-Kontos des Retool-Mitarbeiters zu stehlen. Sie meldeten sich an und kontaktierten das Opfer dann per Telefon, verwendeten eine Deepfake-Stimme und brachten das Opfer dazu, den zusätzlichen MFA-Code bereitzustellen. Zu diesem Zeitpunkt fügte der Angreifer sein eigenes Gerät zum Okta-Konto des Mitarbeiters hinzu.

"Die Tatsache, dass Google Authenticator mit der Cloud synchronisiert wird, ist ein neuartiger Angriffsvektor. Was wir ursprünglich implementiert hatten, war die Multifaktor-Authentifizierung. Aber durch dieses Google-Update wurde aus der vorherigen Multifaktor-Authentifizierung (für Administratoren) im Hintergrund eine Ein-Faktor-Authentifizierung, da die Kontrolle über das Okta-Konto zur Kontrolle des Google-Kontos führte, was zur Kontrolle aller in Google Authenticator gespeicherten OTPs führte. Wir sind der festen Überzeugung, dass Google entweder ihre dunklen Muster in Google Authenticator entfernen sollte (was das Speichern von MFA-Codes in der Cloud fördert) oder Organisationen zumindest die Möglichkeit bieten sollte, sie zu deaktivieren. Wir haben dieses Feedback bereits an Google weitergeleitet." Saïd Snir Kodesh - Technischer Leiter bei Retool.

Die Auswirkungen des Verstoßes

Der Angreifer verschaffte sich mithilfe der OTPs und der Okta-Sitzung Zugriff über das VPN von Retool. Sie waren in der Lage, E-Mails für Benutzer zu ändern und Passwörter zurückzusetzen, was zur vollständigen Kontoübernahme von fast dreißig Kunden der Kryptobranche führte.

Lösungen gegen Anmeldeinformations-Phishing und alle passwortbasierten Angriffe

OTPs und Passwörter sind nicht mehr zweckdienlich. Obwohl die Bereitstellung von Backups bei Benutzern kurzfristig beliebt sein mag, ist dies auf lange Sicht nicht sicher. Wie üblich wird das falsche Problem gelöst. Die einzige Möglichkeit, alle Phishing-Angriffe zu verhindern, besteht darin, Passwörter, Geheimnisse und alle phishingfähigen Faktoren wie OTPs, QR, Push oder SMS zu entfernen. Und das gilt für den gesamten Lebenszyklus, nicht nur für den Vorgang der Authentifizierung.

Besuch, AuthN von IDEE um mehr darüber zu erfahren, wie wir Ihnen helfen können, den Kampf gegen passwortbasierte Angriffe und Anmeldedaten-Phishing mit einer phishingsicheren MFA zu gewinnen.