Οι επαγγελματίες ασφαλείας εκφράζουν την έκπληξη αλλά και τον προβληματισμό τους σχετικά με το γεγονός ότι ο πάροχος υπηρεσιών email “Sendgrid” δεν εφαρμόζει έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) για την προστασία των λογαριασμών πελατών της, κάτι που ενδέχεται να επέτρεψε την παραβίαση μεγάλου αριθμού λογαριασμών και την επακόλουθη πώληση των κλεμμένων δεδομένων στο darknet.
Συγκεκριμένα, ο Torsten George από την εταιρεία ασφαλείας “Centrify” ανέφερε πως είναι περίεργο το γεγονός ότι ένας οργανισμός που συνεργάζεται με μεγάλο αριθμό επιχειρήσεων για σκοπούς μάρκετινγκ δεν έχει ήδη εφαρμόσει MFA για τους χρήστες, τονίζοντας ακόμη πως η εφαρμογή MFA είναι ένα σημαντικό πρώτο μέτρο που πρέπει να λάβει η εταιρεία επειγόντως.
Η μητρική εταιρεία της Sendgrid, Twilio, δήλωσε ότι η εταιρεία εργάζεται πάνω στην διαδικασία απαίτησης MFA για όλους τους λογαριασμούς της. Σημαντικό είναι το γεγονός ότι οι παραβιασμένοι λογαριασμοί χρησιμοποιούνται σε phishing και email-based malware επιθέσεις.
Ο George σχολίασε θετικά το γεγονός ότι η Twilio εργάζεται ήδη πάνω στην εφαρμογή MFA, επισημαίνοντας ακόμη πως η παραβίαση που υπέστη η Sendgrid αποτελεί μια υπενθύμιση της σημασίας που έχει ο έλεγχος ταυτότητας για όλες τις επιχειρήσεις. Η Twilio δημιουργεί API που χρησιμοποιούν οι επιχειρήσεις για να επικοινωνούν με τους πελάτες τους μέσω της πλατφόρμας της, χρησιμοποιώντας email, κείμενο και βίντεο.
Αξίζει να σημειωθεί ότι η εταιρεία δεν έχει δημοσιεύσει πληροφορίες σχετικά με τον αριθμό των λογαριασμών που επηρεάστηκαν από την παραβίαση, αλλά και για τον τρόπο που έγινε η παραβίασή τους. Ωστόσο, ανέφερε τις Netflix, Airbnb και Lyft μεταξύ των πελατών της, ενώ η MediaPost ανέφερε ότι η εταιρεία υπέγραψε σύμβαση με 28 πόλεις, πολιτείες και πανεπιστήμια για να χειριστεί τον εντοπισμό συμβολαίων για τα προγράμματα COVID-19 που καλύπτουν περίπου 150 εκατομμύρια άτομα.
Ο James McQuiggan, που προωθεί την ευαισθητοποίηση για το πεδίο της ασφάλειας στην KnowBe4, τόνισε ότι είναι σημαντικό για τις επιχειρήσεις και τους καταναλωτές να αλλάξουν τους κωδικούς πρόσβασής τους, εάν πιστεύουν ότι έχουν παραβιαστεί. Πρόσθεσε, επίσης, ότι credentials που έχουν κλαπεί στο παρελθόν μπορεί να έχουν χρησιμοποιηθεί από χάκερς για πρόσβαση στους Twilio λογαριασμούς.
Σύμφωνα με τον McQuiggan, οι παραβιάσεις λογαριασμών είναι πιθανό να έχουν προκύψει από προηγούμενες εκμεταλλεύσεις και επιθέσεις εναντίον παραβιασμένων οργανισμών που τυχαίνει να χρησιμοποιούν το Sendgrid. Λαμβάνοντας υπόψη ότι οι χρήστες συνδέονται με το επιχειρηματικό τους email, οι κυβερνοεγκληματίες έχουν συλλέξει εκατομμύρια λογαριασμούς email και κωδικούς πρόσβασης από άλλες διαδικτυακές επιθέσεις. Επιπλέον, εξήγησε πως οι κυβερνοεγκληματίες θεωρούν δεδομένο ότι τα credentials σύνδεσης επαναχρησιμοποιούνται και μπορούν να χρησιμοποιήσουν εκείνα στα οποία έχουν πρόσβαση για να πραγματοποιήσουν μια brute force επίθεση στους Sendgrid λογαριασμούς. Ο McQuiggan συμπλήρωσε ότι χωρίς MFA, ο λογαριασμός ενός χρήστη δεν θα γνωρίζει ποτέ ότι κάποιος προσπαθεί να συνδεθεί στο Sendgrid από τον λογαριασμό του.
Την ίδια στιγμή, ο George συνιστά στους πελάτες της Sendgrid να αλλάξουν αμέσως τους κωδικούς πρόσβασης και να θέσουν νέους ισχυρούς κωδικούς που να είναι μοναδικοί και περίπλοκοι. Θα πρέπει επίσης να διασφαλίσουν ότι θα ενημερωθούν και άλλοι λογαριασμοί στους οποίους χρησιμοποιούσαν τον ίδιο κωδικό πρόσβασης Sendgrid, δεδομένου ότι οι κυβερνοεγκληματίες θα χρησιμοποιήσουν κλεμμένους κωδικούς πρόσβασης σε credential stuffing επιθέσεις, κατά τις οποίες χρησιμοποιούν κλεμμένα δεδομένα για να εισβάλουν σε άλλους λογαριασμούς, χρησιμοποιώντας τα ίδια στοιχεία σύνδεσης.
