ملخص
- مؤكد:خلصت Twilio إلى أن المهاجمين أرسلوا مئات رسائل التصيد عبر الرسائل النصية للموظفين الحاليين والسابقين، واستولوا على بيانات الاعتماد في صفحات تسجيل دخول مقلدة، واستخدموا هويات الموظفين المخترقة للدخول إلى الأدوات والتطبيقات الإدارية الداخلية. كان آخر نشاط غير مصرح به تم رصده في 9 أغسطس 2022. وأحصت Twilio في النهاية 209 حسابات عملاء متأثرة و93 حساب مستخدم نهائي لـ Authy.
- التأثير النهائي:الرقم 209 ليس إجمالي المستخدمين النهائيين. حدد Signal، أحد العملاء المتأثرين، حوالي 1900 رقم هاتف قد يكون المهاجم قد تعرف على حالتها المسجلة أو رأى رمز تسجيل عبر الرسائل النصية؛ تم الإبلاغ عن إعادة تسجيل أحد الحسابات الثلاثة التي تم البحث عنها صراحةً. أدى موقع Twilio في سلسلة الخدمة إلى مضاعفة عواقب عدد صغير من اختراقات الموظفين.
- نتيجة التحكم:لم يحتج المهاجمون إلى تجاوز التشفير أو سرقة مفتاح API لعميل Twilio. لقد أقنعوا الموظفين بتسجيل الدخول إلى موقع مزيف ثم استخدموا الصلاحية الناتجة. يهم التدريب والإزالة السريعة، لكن التحكم الحاسم هو المصادقة التي لا تنتج إجابة قابلة لإعادة الاستخدام للموقع الخطأ، مقترنة بصلاحيات إدارية ضيقة وجلسات قصيرة.
- المساءلة:المهاجمون مسؤولون عن الخداع والوصول غير المصرح به. تحكمت Twilio في مصادقة القوى العاملة والأدوات الداخلية ونطاق بيانات العملاء وعمر الجلسة والاكتشاف وإخطار العملاء. تحكم العملاء في مدى اعتماد الهوية النهائية على Twilio وما هي الضمانات المستقلة التي وضعوها حول التسجيل. تحكمت شركات الاتصالات والمسجلون وموفرو الاستضافة وموردو الهوية في أجزاء من البنية التحتية المتجددة للحملة. المسؤولية مشتركة عبر السلسلة، لكنها ليست متساوية أو قابلة للتبديل.
عدد صغير من العملاء يمكن أن يخفي اعتمادًا كبيرًا
يوفر تقرير الحادث النهائي لـ Twilio نسبتين يسهل تكرارهما وسوء فهمهما: 209 عملاء من أصل أكثر من 270,000، و93 مستخدمًا لـ Authy من أصل حوالي 75 مليون. كلا الكسرين صغيران. لا يصف أي منهما العدد الكامل للأشخاص الذين يمكن تعريض بياناتهم أو حساباتهم للخطر من خلال عميل Twilio متأثر. غالبًا ما يكون عميل Twilio مؤسسة تدير خدمة لمستخدميها. لذلك يمكن لعلاقة عميل واحدة مخترقة أن تحتوي على آلاف أو ملايين أو عدد قليل مختار من الهويات النهائية.
جعل Signal هذا المضاعف مرئيًا. لقد استخدم Twilio للتحقق من رقم الهاتف وخلص إلى أن حوالي 1900 مستخدم كان بإمكان المهاجم معرفة أن أرقامهم مسجلة في Signal أو رؤية رمز التسجيل عبر الرسائل النصية. بحث المهاجم صراحةً عن ثلاثة أرقام، وتلقى Signal تقريرًا عن إعادة تسجيل أحد تلك الحسابات. شدد Signal على أن سجل المحادثات وقوائم الاتصال ومعلومات الملف الشخصي وقوائم الحظر ورمز PIN لـ Signal لم تكن متاحة من خلال Twilio. هذا حد مهم، وليس سببًا لرفض الحدث. خلال نافذة الوصول، يمكن أن تسمح إعادة التسجيل الناجحة للمهاجم بإرسال واستقبال رسائل Signal جديدة كرقم المتأثر. ألغى Signal تسجيل جميع الحسابات البالغ عددها 1900 التي يحتمل أن تكون متأثرة، وطلب إعادة التسجيل، وأبلغ المستخدمين عبر الرسائل النصية في 15 و16 أغسطس. (إشعار الحادث من Signal)
توضح المقارنة بين 209 من عملاء Twilio و1900 مستخدم لـ Signal يحتمل أن يكونوا متأثرين لماذا تحتاج حوادث البرمجيات كخدمة إلى عدة مقامات. يجب على المزود حساب حسابات العملاء المتأثرة. يجب على كل عميل حساب المستخدمين النهائيين المتأثرين والسجلات والمعرفات والمعاملات. يجب على المحققين التمييز بين البيانات المعروضة والبيانات المعدلة، ورمز التسجيل المكشوف من الحساب المعاد تسجيله، والإجراء المحتمل من الإجراء المرصود. يؤدي ضغط هذه الحالات في إجمالي واحد إلى فقدان المعلومات اللازمة للمعالجة.
قالت Twilio أيضًا إنه لا يوجد دليل على وصول المهاجمين إلى بيانات اعتماد وحدة التحكم للعملاء أو رموز المصادقة أو مفاتيح API. هذا الحد يقلل بشكل كبير من مجموعة الادعاءات المدعومة. يعني أن الأدلة العامة لا تثبت أن المهاجمين يمكنهم إجراء مكالمات API تعسفية ككل عميل متأثر. لا يعني أن البيانات الإدارية التي تم الوصول إليها كانت غير ضارة، ولا يمحو ما وجده Signal بشكل مستقل في نظام الدعم. يمكن لأداة داخلية أن تكشف معلومات حاسمة تشغيليًا حتى عندما يظل سر العميل نفسه غير ممسوس.
هذا هو الاعتماد السحابي المحدد في القضية. فوّض العميل وظيفة اتصالات أو تحقق. احتاج موظفو Twilio إلى بعض القدرة على دعم تلك الوظيفة. حوّل الهجوم سلطة الموظف إلى طريق نحو معلومات العميل، وفي حالة Signal كانت تلك المعلومات داخل عملية تسجيل الحساب. أصبح حد هوية القوى العاملة للمزود جزءًا من حد مصادقة العميل، سواء كان العميل يستطيع رؤية هذا الاعتماد في مخطط معماري أم لا.
حادثان من الهندسة الاجتماعية، ثم تحقيق متسع
التسلسل الزمني النهائي أكثر تعقيدًا من الإفصاح الأولي في أغسطس. ربط تحقيق Twilio حملة التصيد عبر الرسائل النصية التي تم الإبلاغ عنها على نطاق واسع بحادث سابق. في 29 يونيو 2022، تم التصيد الصوتي لموظف لتقديم بيانات الاعتماد. حصل المتسلل على معلومات الاتصال بالعملاء لعدد محدود من العملاء. قالت Twilio إنها حددت وقضت على هذا الوصول في غضون 12 ساعة وأبلغت العملاء المتأثرين في 2 يوليو. خلصت الشركة لاحقًا إلى أن نفس الجهات الفاعلة الخبيثة ربما كانت مسؤولة عن كلا الحدثين، لكن "على الأرجح" يظل تقييمًا استقصائيًا وليس إسنادًا قضائيًا.
في منتصف يوليو، بدأت الجهات الفاعلة في إرسال مئات الرسائل النصية لموظفي Twilio الحاليين والسابقين. انتحلت الرسائل صفة قسم تكنولوجيا المعلومات أو مسؤول واستخدمت مخاوف العمل العادية: كلمة مرور منتهية الصلاحية، أو جدول زمني متغير، أو سبب آخر لتسجيل الدخول. أدت الروابط إلى نطاقات تحتوي على كلمات مألوفة مثل Twilio أو Okta أو SSO وإلى صفحات مصممة لتشبه تجربة تسجيل الدخول الحقيقية لـ Twilio. قدم بعض الموظفين بيانات الاعتماد. ثم دخل المهاجمون إلى الأدوات والتطبيقات الإدارية الداخلية ووصلوا إلى معلومات العملاء.
أصبحت Twilio على علم بالوصول غير المصرح به في 4 أغسطس. نشرت أول إشعار لها في 7 أغسطس، واصفة في البداية عددًا محدودًا من حسابات العملاء. تطور العدد العام مع تقدم التحقيق: حدد تحديث مبكر حوالي 125 عميلًا؛ بحلول 24 أغسطس أبلغت Twilio عن 163 عميلًا و93 مستخدمًا لـ Authy؛ أعطى استنتاج 27 أكتوبر الرقم النهائي البالغ 209 عملاء واحتفظ برقم 93 مستخدمًا لـ Authy. آخر نشاط غير مصرح به تم رصده كان 9 أغسطس.تقرير الحادث الموحد واستنتاج التحقيق لـ Twilioهو المصدر الأساسي لهذا التسلسل.
الأرقام المتغيرة لا تظهر بحد ذاتها أن البيان المبكر كان خادعًا. عادةً ما يتوسع نطاق الحادث مع إعادة المحققين بناء الهويات والجلسات والأدوات والاستعلامات وسجلات العملاء. سؤال المساءلة هو ما إذا كان كل رقم محددًا ومؤرخًا. "العملاء الذين تم تحديدهم حتى الآن" يختلف عن "العملاء المتأثرون النهائيون". حساب المؤسسة المتأثرة يختلف عن الفرد. مستخدمو Authy مختلفون مرة أخرى. بشكل عام، حددت تحديثات Twilio هذا التقدم، لكن الحساب العام النهائي لم ينشر بعد فئات البيانات أو إجراءات الوصول أو عدد السكان النهائيين لكل عميل متأثر.
أضاف تقرير الشركة للأوراق المالية عدة حدود مفيدة. قالت Twilio إن الجهات الفاعلة حصلت على أسماء الموظفين وأرقام هواتفهم المحمولة من مصادر غير معروفة؛ وأنها أبلغت وعملت مع العملاء المتأثرين؛ وأنها أبلغت الجهات التنظيمية المختصة وعالجت أسئلتهم؛ وأن التقارير الصناعية وضعت النشاط عبر مؤسسات التكنولوجيا والاتصالات والعملات المشفرة.نموذج 10-Q للربع الثالث لعام 2022ونموذج 10-K لعام 2022كررا أيضًا عدد 209 عملاء ولخصا المعالجة.
هذه الإيداعات هي تصريحات شركة تمت بموجب التزامات قانون الأوراق المالية. إنها دليل أقوى على ما كشفت عنه Twilio رسميًا من التقارير المجهولة، لكنها ليست تدقيقًا جنائيًا مستقلاً أو نتيجة امتثال من جهة تنظيمية. السجل العام الذي تمت مراجعته لهذه المقالة لا يحتوي على أمر إنفاذ يوزع المسؤولية القانونية عن الحادث. لذلك فهو يدعم الأحكام التشغيلية حول التحكم والأدلة، وليس ادعاءً بأن محكمة أو جهة تنظيمية توصلت إلى حكم نهائي بالإهمال.
كان الموظف هدفًا، وليس سببًا جذريًا كاملاً
صحيح أن بعض الموظفين أدخلوا بيانات اعتمادهم على صفحة مزيفة. التوقف عند هذا ينتج تفسيرًا ضعيفًا. الهندسة الاجتماعية مصممة لاستغلال حقيقة أن العمل المشروع يطلب بالفعل من الناس قراءة الرسائل، واتباع الروابط، والاستجابة لتغييرات الجدول، والمصادقة. اختار المهاجمون قناة يحملها الموظفون، ولغة تتعلق بصاحب العمل، وصفحة تحاكي موفر هوية مألوفًا. كان لديهم أيضًا ما يكفي من التخطيط الشخصي لربط أسماء الموظفين بأرقام الهواتف، بما في ذلك أرقام الموظفين السابقين.
أصبح إجراء الموظف اختراقًا فقط لأن نظام المصادقة قبل بما التقطه المهاجم ولأن الجلسة الناتجة يمكنها الوصول إلى أدوات داخلية حساسة. كانت السلسلة الكاملة: اكتساب الهدف، تسليم الرسالة، ثقة الرابط، إدخال بيانات الاعتماد، التقاط العامل الثاني أو استيفائه، قبول موفر الهوية، إنشاء جلسة التطبيق، التفويض الإداري، الوصول إلى بيانات العميل، والإلغاء المتأخر. كل انتقال بعد النقرة كان قرارًا آليًا أو سياسيًا يخضع للسيطرة التنظيمية.
هذا التمييز مهم لكل من العدالة والهندسة. إلقاء اللوم على الموظف يشجع على الإبلاغ الناقص في اللحظة التي تكون فيها التقارير أكثر قيمة. كما أنه يوجه الأموال نحو حملات التوعية بينما يترك بروتوكول مصادقة قابلًا لإعادة الاستخدام في مكانه. أضافت Twilio تدريبًا إضافيًا إلزاميًا، لكن رد فعلها الأكثر أهمية كان توزيع مفاتيح أمان FIDO2 على جميع الموظفين وتعزيز احتياطات العامل الثاني. مصادق FIDO2 يربط استجابته بالموقع الحقيقي أو الطرف المعتمد. لا يزال بإمكان نطاق تقليد مقنع جمع كلمة مرور، لكنه لا يمكنه الحصول على الاستجابة التشفيرية اللازمة للخدمة الشرعية.
تحددإرشادات المصادقة متعددة العوامل المقاومة للتصيد من CISAFIDO/WebAuthn كخيار المقاوم للتصيد المتاح على نطاق واسع وتميزه عن الطرق التي تطلب من الشخص إعادة توجيه رمز. تشرحإرشادات المصادقة الحالية من NISTالآلية بشكل أكثر دقة: المخرجات لمرة واحدة التي يتم إدخالها يدويًا ليست مقاومة للتصيد لأن المحتال يمكنه إعادة توجيهها، بينما يمكن للمصادقة التشفيرية ربط مخرجات المصادق بالمصدق أو القناة. هذه المعايير اللاحقة لا تثبت بالضبط تكوين العامل الذي استخدمته Twilio لكل تطبيق في يوليو 2022. إنها تشرح لماذا أدى توزيع رموز FIDO2 بعد الحادث إلى معالجة مسار الهجوم الموثق بشكل أكثر مباشرة من تحذير آخر حول الروابط المشبوهة.
الاختبار المتبقي هو الإنفاذ. امتلاك المفاتيح ليس مثل فرضها. يمكن لمسار الاسترداد أو VPN القديم أو استثناء إداري أو تطبيق غير مُدار أو إعادة تعيين مكتب المساعدة أو عامل احتياطي أن يحافظ على مسار الهجوم القديم. سجل المعالجة الموثوق به سيظهر النسبة المئوية لتطبيقات القوى العاملة والتطبيقات المميزة التي تكون فيها المصادقة المقاومة للتصيد إلزامية، ومعالجة المقاولين والحسابات الطارئة، وعدد وأعمار الاستثناءات، ونتائج التمارين ضد عمليات الاحتياطي والاسترداد.
تقدم Cloudflare مقارنة تحكم مفيدة، وليس مسرحية أخلاقية
في نفس الوقت تقريبًا، تلقى موظفو Cloudflare حملة بخصائص مماثلة. في 20 يوليو 2022، تلقى ما لا يقل عن 76 موظفًا رسائل نصية في أقل من دقيقة، أُرسلت إلى هواتف شخصية وعملية؛ وصلت بعض الرسائل إلى أفراد الأسرة. أدخل ثلاثة موظفين بيانات اعتمادهم. أبلغت Cloudflare أن المهاجم فشل بعد ذلك في اجتياز خطوة مفتاح أجهزة FIDO2 المطلوبة، لذلك لم يتم اختراق أنظمتها. قارن فريق الاستجابة للحوادث على مدار الساعة المستلمين بنشاط تسجيل الدخول، وأعاد تعيين بيانات الاعتماد والجلسات المتأثرة، وفحص الأجهزة، وحظر البنية التحتية، وشارك المعلومات الاستخباراتية مع الأهداف الأخرى. (الحساب الفني لـ Cloudflare)
المقارنة مفيدة لأنها تثبت المتغير البشري ثابتًا تقريبًا. واجه الموظفون في كلتا الشركتين إغراء رسائل نصية مقنع؛ تفاعل الموظفون في كلتيهما معها. اختلفت النتائج عند طبقة البروتوكول والإنفاذ. لم تجعل مفاتيح Cloudflare موظفيها أقل إنسانية. لقد جعلت الخطأ البشري غير كافٍ لإرضاء المصدق الحقيقي.
سيكون من المبسط استنتاج أن Twilio كان يجب أن تنسخ كل عنصر من بنية Cloudflare أو أن تحكمًا واحدًا يضمن السلامة. حساب Cloudflare هو تقرير ذاتي، وكانت الحملات متشابهة وليست مثبتة التطابق في كل التفاصيل، وقد يسعى المهاجم المصمم إلى التحكم في نقطة النهاية أو استرداد الحساب أو سرقة الجلسة أو مسار مختلف. الدرس أضيق وأقوى: لا ينبغي لمزود يحتفظ بوصول إداري لبيانات العميل أن يجعل نجاح تمرين تصيد واقعي يعتمد بشكل أساسي على ما إذا كان كل موظف يتعرف على الإغراء.
توضح Cloudflare أيضًا قيمة الرؤية المركزية. يمكنها تحديد محاولات المصادقة التي استخدمت كلمات مرور مسروقة صحيحة لكنها فشلت في شرط مفتاح الأجهزة، وربطها بتقارير الموظفين، وإنهاء الجلسات، والاستعلام عن سجلات الوصول. هذا الدليل حوّل الرسائل النصية المتفرقة إلى حملة. بالنسبة لـ Twilio، سؤال المساءلة المكافئ ليس فقط ما إذا كان موفر الهوية ينتج سجلات، ولكن ما إذا كانت الشركة يمكنها الإجابة بسرعة عن هويات الموظفين التي تمت مصادقتها، والعوامل المستخدمة، والتطبيقات التي أصدرت جلسات، وسجلات العملاء التي لمستها تلك الجلسات، وما إذا تم إلغاء كل جلسة ذات صلة.
0ktapus حوّل بنية تحتية بسيطة إلى حملة قابلة للتوسع
استشهد تقرير Twilio النهائي بباحثين مستقلين أطلقوا على النشاط الأوسع اسم 0ktapus أو Scatter Swine. وجد بحث الحملة من Group-IB 169 نطاق تصيد، و9,931 سجل بيانات اعتماد مخترقة، و5,441 رمز مصادقة متعددة العوامل مخترق، وضحايا مرتبطين بـ 136 نطاق بريد إلكتروني فريد. وصف باحثوها مجموعة تصيد ثابتة تحاكي صفحات Okta الخاصة بكل مؤسسة، وتجمع أسماء المستخدمين وكلمات المرور والرموز، وترسل المواد الملتقطة إلى قناة Telegram. كان على المهاجمين استخدام الرموز قصيرة العمر بسرعة، لكنهم لم يحتاجوا إلى برمجيات خبيثة نادرة أو كسر تشفير غير معلن. (تحليل Group-IB لـ 0ktapus)
لا ينبغي استيراد أرقام مستوى الحملة إلى عدد ضحايا Twilio. غطت مجموعة Group-IB العديد من المؤسسات وفترة تبدأ قبل أشهر من اكتشاف Twilio في أغسطس. إنها دليل على اقتصاديات المهاجم والتقنية الشائعة، وليس دليلاً على أن كل بيانات اعتماد في مجموعة البيانات تم استخدامها أو أن كل مؤسسة مدرجة عانت نفس العواقب.
التباين الاقتصادي لا يزال واضحًا. يمكن للمهاجمين تسجيل نطاق، واستنساخ صفحة تسجيل دخول، واستئجار استضافة، وإرسال دفعة من الرسائل، واستبدال البنية التحتية بعد الإزالة. قالت Twilio إنها عملت مع شركات الاتصالات الأمريكية لوقف الرسائل الخبيثة ومع موفري الاستضافة لإغلاق الحسابات، ومع ذلك تناوبت الجهات الفاعلة عبر شركات الاتصالات والمضيفين واستأنفت الهجمات. تطلب كل إجراء دفاعي وصول تقرير إلى المزود الصحيح، وأدلة كافية لإرضاء عمليته، وقرار، وتنفيذ. احتاج المهاجم فقط إلى حساب أو نطاق آخر منخفض التكلفة.
هذا هو اقتصاديات الاتصال بالإساءة: السعر والتأخير المرتبطان بتحويل تحذير خارجي إلى إجراء وقائي. السعر ليس مجرد تقديم نموذج. يشمل اكتشاف المزود المسؤول، وتنسيق الأدلة، والتغلب على مرشحات الإيجابيات الخاطئة، والحفاظ على الخصوصية، وربط التقارير المكررة، وتقرير السلطة القانونية، وإخطار العملاء، وتتبع ما إذا كان المورد الخبيث يعود في مكان آخر. يمكن للمهاجمين أتمتة توفير البنية التحتية المسيئة؛ غالبًا ما يعالج المدافعون التقارير كتذاكر منفصلة.
وصف Twilio للرسائل الموجهة للموظفين الحاليين والسابقين يثير مشكلة إبلاغ إضافية. يمكن تدريب العمال الحاليين على استخدام زر داخلي أو قناة دردشة أو خط ساخن. قد لا يكون لدى العمال السابقين طريق داخلي موثق. قد لا يعرف أفراد الأسرة الذين يتلقون رسالة أي صاحب عمل يتم انتحاله أو كيفية تقديم الأدلة بأمان. يحتاج البرنامج الناضج إلى قناة عامة ومنخفضة العوائق للإبلاغ عن الرسائل المشبوهة التي تتعلق بالشركة، وليس فقط مكتب مساعدة للموظفين.
تنشر Twilio الآن طرقًا منفصلةللإبلاغ عن الثغرات الأمنيةوالإبلاغ عن إساءة استخدام الرسائل. الأول يقبل تقارير من الباحثين والشركاء والموردين والعملاء والاستشاريين؛ الثاني يجمع تفاصيل حول المكالمات أو الرسائل غير المرغوب فيها. هذه أسطح عامة مفيدة، لكن وجودها اليوم لا يثبت كيف تم توجيه تقرير تصيد لموظف في يوليو 2022 أو مدى سرعة وصوله إلى المستجيبين للحوادث. الثغرات الأمنية وإساءة استخدام المنتج واختراق حساب العميل وتصيد القوى العاملة والاستخبارات النشطة للحوادث تتداخل لكنها ليست قوائم انتظار متطابقة. يجب أن يكون النظام قادرًا على دمجها.
قام RFC 9116 بتوحيدsecurity.txtجزئيًا لأن العثور على جهة اتصال أمنية هو بحد ذاته مصدر تأخير. إنه يعطي الموقع مكانًا متوقعًا وقابلاً للقراءة آليًا لنشر قنوات الإبلاغ وسياسة الإفصاح. (RFC 9116) لا يمكن لملف الاتصال التحقيق في تقرير، ولا يمكن لنموذج ويب إجبار شركة اتصالات أو مسجل على التصرف. قيمته هي خفض التكلفة الثابتة لبدء التنسيق. المقياس الأقوى هو ما يحدث بعد الاستلام: وقت الإقرار، وتعيين المحلل، وربط التقارير المتقاطعة، وعتبة التصعيد، ووقت الإزالة، وتتبع التكرار، والتغذية الراجعة للمبلغ.
كانت وحدة تحكم الدعم جزءًا من نظام مصادقة Signal
يحدد إشعار Signal وحدة تحكم دعم العملاء في Twilio كنظام تم الوصول إليه من خلال التصيد. هذه التفاصيل مهمة لأن أدوات الدعم غالبًا ما تُعامل على أنها تسهيلات تشغيلية وليست حدود أمان إنتاجية. قد يحتاج ممثل الدعم إلى فحص حالة التسليم أو أرقام الهواتف أو أحداث التحقق أو تكوين الحساب لحل مشكلة مشروعة. نفس الرؤية يمكن أن تساعد المهاجم في التعرف على حساب مسجل أو اعتراض رمز لحظي.
لذلك يجب تفسير عبارة "الأنظمة غير الإنتاجية" في تقرير Twilio النهائي بحذر. لا يجب على الأداة إرسال حركة مرور حية أو استضافة تطبيق عميل للتأثير على قرار هوية إنتاجي. إذا كانت تعرض بيانات ناتجة عن اتصالات إنتاجية، أو تسمح بالبحث في سجلات العملاء، أو تساعد مشغلًا في تغيير حالة، فإنها تنتمي داخل حدود الثقة الفعلية للخدمة. التصنيفات مثل الدعم أو المكتب الخلفي أو غير الإنتاجي لا تقلل من حساسية الصلاحية المتاحة هناك.
سؤال التصميم الصحيح ليس ما إذا كان يجب أن يكون لموظفي الدعم وصول صفري. لا تستطيع منصة اتصالات التحقيق في مشاكل التسليم والحساب دون دليل. السؤال هو مقدار البيانات المرئية افتراضيًا، والحقول التي تتطلب رفعًا، وما إذا كانت عمليات البحث الحساسة بشكل خاص تتطلب سببًا أو موافقة، وكيف يتم تحديد نطاق الوصول لمستأجر، وكيف يتم تقييد الاستعلامات الجماعية، وما إذا كان العميل يمكنه رؤية أن موظف المزود وصل إلى حسابه.
توثقتوثيق أحداث المراقبة الحالي لـ Twilioسجلات الأحداث للتغييرات التي تمت عبر API، أو من قبل مستخدمي وحدة التحكم، وحتى من قبل موظفي Twilio. يمكن أن تتضمن الأحداث نوع الفاعل والمصدر وعنوان IP المصدر والمورد وبيانات الحدث؛ يختلف الاحتفاظ حسب حزمة الحساب. هذا دليل على أن العملاء يمكنهم الحصول على سجلات نشاط منصة ذات معنى الآن، وليس دليلاً على أن مشاهدات وحدة تحكم الدعم لعام 2022 ذات الصلة بـ Signal كانت جميعها مرئية للعميل أو محفوظة بموجب ذلك المنتج. يسلط الحادث الضوء على سبب وجوب أن يشمل نطاق التدقيق الوصول للقراءة والبحث، وليس فقط تغييرات التكوين.
يجب على العميل الذي يدمج مزودًا في استرداد الحساب أو التحقق أن يسأل عن نموذج الوصول إلى الدعم الدقيق. هل يمكن لموظف المزود عرض رمز لمرة واحدة حي؟ هل يمكنه الكشف عن ما إذا كان الرقم مسجلاً؟ هل هذا الوصول مقنع حتى يتم رفعه صراحةً؟ هل تنتهي صلاحية الرفع؟ هل هناك حاجة لشخص ثانٍ للبحث المستهدف الذي يتضمن حسابًا عالي المخاطر؟ هل سيتلقى العميل حدثًا في الوقت الفعلي تقريبًا؟ هل يمكن للمزود الاحتفاظ بهذه السجلات لفترة كافية لموعد إخطار العميل الخاص؟ هذه الأسئلة تتبع مباشرة من تأثير Signal دون افتراض أن كل منتج Twilio يعرض نفس البيانات.
أظهر Authy شكلاً ثانيًا من السلطة النهائية
مستخدمو Authy المتأثرون البالغ عددهم 93 ينتمون إلى حدود مختلفة. أبلغت Twilio أن المهاجمين سجلوا أجهزة إضافية في تلك الحسابات، ثم أزالوا الأجهزة غير المصرح بها واتصلوا بالمستخدمين. نصحت الشركة المستخدمين بفحص الحسابات المرتبطة ومراجعة الأجهزة وإزالة أي شيء غير مألوف وتعطيل القدرة متعددة الأجهزة بعد إنشاء جهاز احتياطي.
لم يكن هذا مجرد تعرض لبيانات الاتصال. يمكن أن تعطي إضافة جهاز Authy للمهاجم طريقًا مستمرًا لرموز المصادقة المستندة إلى الوقت للخدمات المرتبطة، اعتمادًا على تكوين الحساب والضمانات لتلك الخدمات. عكست توجيهات Twilio لفحص الحسابات المرتبطة هذا الاحتمال. لا يقول التقرير العام أن جميع المستخدمين الـ 93 عانوا من اختراق في خدمة مرتبطة، لذا فإن الحالة الصحيحة هي "جهاز غير مصرح به مسجل"، متبوعًا بتحقيق خاص بالعميل.
يظهران Signal وAuthy معًا نوعين من تضخيم الخدمات السحابية. في حالة Signal، تداخلت عرض دعم مزود الاتصالات مع تدفق تسجيل خدمة نهائية. في حالة Authy، يمكن لآلية تسجيل جهاز منتج الهوية أن تمدد قدرة المصادقة للمهاجم عبر حسابات أخرى. لا يتم قياس أي من الأذى جيدًا من خلال عد مؤسسات عملاء Twilio فقط.
يظهران أيضًا قيمة التصميم الذي يحتوي على اختراق المزود. لم يحمل خادم Signal سجل المحادثات أو جهات الاتصال أو بيانات الملف الشخصي التي يمكن لمهاجم Twilio استرجاعها. قدم رمز PIN الخاص بـ Signal وقفل التسجيل حدًا آخر يتجاوز حيازة رمز SMS، على الرغم من أن قفل التسجيل كان اختياريًا وحث Signal المستخدمين على تمكينه. كانت الخدمة لا تزال تعتمد على Twilio في خطوة حساسة، لكن بنيتها حددت ما يمكن أن يكشفه هذا الاعتماد. الاعتماد السحابي نادرًا ما يتم القضاء عليه؛ يمكن تضييقه.
يجب أن ينطبق تقليل البيانات على طرق العرض الإدارية
غالبًا ما يصف المزودون تقليل البيانات من حيث احتفاظ قاعدة البيانات. يضيف هذا الحدث بُعدًا آخر: تقليل العرض. يمكن الاحتفاظ بحقل بشكل مشروع للتسليم أو منع الاحتيال أو الفوترة أو استكشاف الأخطاء وإصلاحها وما زال لا يحتاج إلى الظهور بالكامل لكل هوية دعم. يمكن للواجهة الكشف عن رقم مقنع، أو نتيجة تسليم، أو حالة تحقق أحادية الاتجاه دون إظهار السر الكامل أو كل سجل ذي صلة.
لم ينشر تقرير الحادث حسابًا حقليًا لما فقده كل عميل Twilio متأثر. قد يعكس هذا الإغفال سرية العميل أو حدود التحقيق أو تنوع المنتجات وطرق عرض الدعم. ومع ذلك، فإنه يخلق فجوة ضمان. لا يمكن للعملاء استنتاج تعرضهم من الرقم الإجمالي لـ Twilio، ولا يمكن للقراء الخارجيين اختبار ما إذا كان الوصول قد تم تقليله بشكل مناسب.
يجب أن يكون المزود المسؤول قادرًا على بناء حزمة أدلة لكل عميل تتضمن هوية الموظف والتطبيق والجلسة والطوابع الزمنية والاستعلامات أو الكائنات والحقول المعروضة والصادرات والتغييرات ومستوى الثقة. يمكن للعميل بعد ذلك تعيين أدلة المزود لمستخدميه والتزاماته. حيث تكون السجلات الدقيقة غير متاحة، يجب على المزود أن يقول ذلك ويتبنى عددًا متأثرًا متحفظًا بدلاً من ترجمة القياس عن بعد المفقود بهدوء إلى "لا تأثير".
تميز توثيق Twilio الحالي بين مفاتيح API المقيدة وبيانات الاعتماد الأوسع ويوصي باستخدام الحد الأدنى من الوصول المحدد المتاح. (نظرة عامة على مفاتيح API في Twilio) يجب أن يحكم مبدأ الامتياز الأقل هذا أدوات الدعم البشري بقوة مثل عملاء API. لا يفعل مفتاح العميل الضيق الكثير لحماية البيانات إذا كانت هوية دعم داخلية عامة يمكنها رؤية جميع المستأجرين وجميع الحقول الحساسة بعد تسجيل دخول مخترق واحد.
يجب أن يفصل التصميم الإداري أيضًا بين الملاحظة والإجراء. النظر إلى حالة الرسالة، وتغيير تكوين الحساب، وإنشاء بيانات اعتماد، وتسجيل جهاز، وعرض رمز لمرة واحدة لها عواقب مختلفة. يجب أن تنتج متطلبات تفويض مختلفة وأحداث تدقيق لا لبس فيها. يمكن أن تتطلب الإجراءات عالية المخاطر إعادة مصادقة حديثة مقاومة للتصيد، وموقف جهاز مُدار، وجلسة دعم معتمدة من العميل، أو تحكم مزدوج. الهدف ليس جعل الدعم غير قابل للاستخدام. إنه جعل اختراق الموظف ينتهي صلاحيته قبل أن يصبح حادث عميل.
الإخطار هو تحكم موزع في الاستجابة للحوادث
أبلغت Twilio مؤسسات العملاء المتأثرين بشكل فردي. ثم كان على هؤلاء العملاء تحديد أي من مستخدميهم متأثرون، وما هي الحالة التي تمثلها البيانات، وما هو الإجراء الوقائي المناسب. تمكن Signal من التصرف لأنه تلقى معلومات كافية لتحديد حوالي 1900 رقم، والبحث عن نشاط لثلاثة، وتقرير إعادة تسجيل لواحد. بدأ الإخطار المباشر بحلول 15 أغسطس، بعد أحد عشر يومًا من اكتشاف Twilio الوصول غير المصرح به، وأكمل العملية في اليوم التالي.
يظهر هذا التسلسل لماذا لا يمكن أن يتكون إخطار المزود فقط من "حسابك متأثر". تحتاج المؤسسة النهائية إلى طوابع زمنية في منطقة زمنية مشتركة، وحقول بيانات تم الوصول إليها، ومعرفات مناسبة للمطابقة، وإجراءات تم تنفيذها، وحدود الجلسة، والثقة، وحالة الاحتواء، والمؤشرات المستمرة. تحتاج أيضًا إلى طريقة آمنة لتلقي الحزمة. الإخطار الغامض أو المتأخر ينقل التكلفة الاستقصائية إلى العميل ويمكن أن يجعل الساعة القانونية أو التعاقدية للعميل مستحيلة الوفاء.
يخبردليل الاستجابة لخرق البياناتللجنة التجارة الفيدرالية الشركات التي تخزن بيانات للآخرين بإخطار الشركات المتأثرة وينصح المنظمات بالتحقق من أن مزود الخدمة قام بالفعل بإصلاح الثغرة. كما يؤكد على توثيق التحقيق، والحفاظ على الأدلة، والتحقق من المعلومات والسكان المعنيين، وإعطاء الأشخاص تفاصيل تساعدهم في حماية أنفسهم. الدليل ليس نتيجة إنفاذ لـ Twilio، لكنه يلتقط المعيار التشغيلي ذي الصلة بسلسلة المزود.
تضعتوصيات الاستجابة للحوادث الحالية من NISTمعالجة الحوادث عبر الإعداد والكشف والاستجابة والاسترداد والتحسين بدلاً من معاملتها كحدث لفريق الأمن يبدأ بعد التأكيد. بالنسبة لمزود سحابي، ينتمي اتصال العميل داخل نموذج التشغيل هذا. يجب ممارسة جودة الإخطار قبل وقوع حادث من خلال إنشاء حزمة أدلة نموذجية خاصة بمستأجر واختبار ما إذا كان العميل يمكنه التصرف بناءً عليها.
يقولملحق حماية البيانات الحالي لـ Twilioإنه سيقوم بإخطار العملاء دون تأخير غير مبرر عن حوادث الأمان المشمولة وتقديم المساعدة المعقولة عندما يجب على العملاء إخطار السلطات أو أصحاب البيانات. كما يصف تقارير التدقيق السرية ومسؤوليات العملاء للتكوين. نظرًا لأن الإصدار المرتبط تم تحديثه في عام 2026، لا ينبغي قراءته بأثر رجعي على أنه العقد الدقيق لكل عميل في عام 2022. إنه مفيد كبيان حالي لكيفية توزيع الإشعار والمساعدة والتدقيق والمسؤولية المشتركة. تعتمد الحقوق الفعلية على الاتفاقية والقانون المطبق على كل عميل.
عالجت المعالجة مسار الدخول، لكن الدليل لا يزال غير مكتمل
أبلغت Twilio عن أربعة إجراءات استئصال فورية: إعادة تعيين بيانات اعتماد الموظف المخترقة، وإلغاء الجلسات النشطة المرتبطة بتطبيقات Okta المتكاملة المخترقة، وحظر المؤشرات المعروفة، وطلب إزالة نطاقات Twilio المزيفة. ثم أدرجت خمسة إجراءات طويلة الأجل: احتياطات أقوى للعامل الثاني ورموز FIDO2 لجميع الموظفين، وضوابط إضافية لـ VPN، وإزالة أو تقييد الوظائف في الأدوات الإدارية، وتحديث الرمز المميز بشكل متكرر لتطبيقات Okta المتكاملة، وتدريب إضافي إلزامي.
هذه قائمة معالجة محددة بشكل مادي. إنها ترتبط بعدة مراحل من الهجوم بدلاً من الوعد فقط بـ "أخذ الأمان على محمل الجد". يعالج FIDO2 انتحال المصدق. عمر الرمز الأقصر يقلل من النافذة المفيدة بعد اختراق بيانات الاعتماد أو الجلسة. تضيف ضوابط VPN حد سياسة آخر. تقييد الوظائف الإدارية يقلل من نصف قطر الانفجار. التدريب والتنبيهات يحسنان التعرف والإبلاغ.
تكشف القائمة أيضًا عما يجب أن يسأل عنه العملاء بعد ذلك. هل أصبح FIDO2 إلزاميًا لكل مصادقة قوى عاملة ومميزة، مع استرداد غير قابل للتصيد؟ هل ألغت إلغاء الجلسة بشكل موثوق جلسات التطبيق بدلاً من جلسة موفر الهوية فقط؟ ما هي الوظائف الإدارية التي تمت إزالتها، وأيها تم إخفاؤها فقط، وما هي الموافقة التي تحكمها الآن؟ ما مدى قصر الرموز المحدثة، وهل يمكن لفريق الحوادث إلغاؤها عالميًا في دقائق؟ هل تمت إزالة أرقام الموظفين السابقين من الأدلة الداخلية وبرامج التحذير المستهدفة مع الحفاظ على طريق لهم للإبلاغ عن انتحال الشخصية؟
قالت Twilio إنها كانت ترى فوائد فورية من التحسينات. لم يحدد التقرير العام هذه الفوائد بمقاييس أو يقدم تقييمًا مستقلاً لفعالية التشغيل. يصفنظرة عامة على الأمان الحالية لـ Twilioفريق الاستجابة لحوادث الأمان وضوابط الوصول والاختبار والشهادات وعناصر البرنامج الأخرى. يوفرمركز ثقة Twilioوصولاً خاضعًا للرقابة لوثائق الضمان مثل تقارير SOC 2. قد تساعد هذه المصادر العميل في إجراء العناية الواجبة الآن، لكن لا ينبغي معاملة الشهادة الحالية كحكم جنائي على ضوابط يوليو 2022. نطاق التدقيق والفترة والمعايير المختبرة والاستثناءات وضوابط العملاء التكميلية كلها مهمة.
يمكن لبطاقة أداء المعالجة العامة الموثوقة حماية التفاصيل الحساسة مع كشف النتائج:
| سؤال التحكم | الأدلة التي ستدعم الإغلاق | الحالة العامة |
|---|---|---|
| هل يمكن لصفحة تسجيل دخول مستنسخة إنتاج تسجيل دخول قابل للاستخدام للقوى العاملة؟ | مصادقة مقاومة للتصيد إلزامية عبر الموظفين والمقاولين والمسؤولين والاسترداد والتطبيقات القديمة؛ عدد الاستثناءات ونتائج التمارين | تم الإعلان عن توزيع FIDO2؛ تغطية وأدلة احتياطية غير عامة |
| هل يمكن لجلسة موظف واحد الوصول إلى بيانات عملاء مفرطة؟ | تحديد نطاق الدور والمستأجر، والحقول المقنعة، والرفع في الوقت المناسب، والتحكم المزدوج للعروض الحساسة، ومراجعة الاستحقاق الدوري | تم تقييد الوظائف الإدارية؛ النطاق الدقيق غير عام |
| هل يمكن لهوية مسروقة الاحتفاظ بالوصول بعد الاحتواء؟ | وقت إلغاء الجلسة العالمية المقاس، والرموز القصيرة، ونتائج الاختبار عبر كل تطبيق متكامل | تم إلغاء الجلسات وزيادة تردد التحديث؛ مقياس التشغيل غير عام |
| هل يمكن للعملاء إعادة بناء وصول المزود؟ | سجلات قراءة وكتابة مرئية للمستأجر، وأحداث قابلة للتصدير، واحتفاظ كافٍ، وحزم أدلة مختبرة | ميزات المراقبة الحالية موثقة؛ تغطية عرض الدعم لعام 2022 غير عامة |
| هل يمكن للتقارير الخارجية المتناثرة أن تصبح حادثًا واحدًا بسرعة؟ | استقبال عام، وفرز على مدار الساعة، وربط عبر قوائم الانتظار، ومستويات خدمة التصعيد، وتتبع التكرار | توجد طرق عامة للثغرات والإساءة؛ مقاييس المعالجة لعام 2022 غير عامة |
| هل يمكن للمستخدمين النهائيين اتخاذ إجراء في الوقت المناسب؟ | إشعار على مستوى الحقل والمعرف مع طوابع زمنية وتسليم آمن؛ تمرين إخطار سنوي | تم تأكيد التواصل الفردي؛ توقيت الإخطار الكامل ومحتوياته غير عامة |
غياب الأدلة العامة ليس دليلاً على غياب التحكم. إنه سبب لتصنيف الضمان بشكل منفصل عن التنفيذ. قد تقدم Twilio أدلة سرية لعملاء المؤسسات أو المدققين لا يمكن نشرها بأمان. يجب على فريق المشتريات طلبها. لا يزال من الممكن تحسين المساءلة العامة من خلال مقاييس التغطية الإجمالية والأداء التي لا تكشف هوية العميل أو السر الدفاعي.
كان للعملاء مسؤولية، لكن ليس سيطرة على قوى عاملة Twilio
غالبًا ما يتم الاستشهاد بالمسؤولية المشتركة بعد حادث سحابي بطريقة تطمس الحدود. كان عملاء Twilio مسؤولين عن تصميم تطبيقاتهم وبيانات اعتمادهم المحلية وإخطار المستخدمين وحساسية البيانات التي اختاروا إرسالها عبر الخدمة. لم يختاروا مصادق موظفي Twilio، أو يقرروا حقول الدعم المرئية، أو يكوّنوا VPN الداخلي، أو يلغوا جلسات القوى العاملة المخترقة. كانت تلك ضوابط المزود.
لا يزال بإمكان العملاء تقليل عواقب فشل المزود. يمكن لخدمة تستخدم SMS للتسجيل إضافة PIN خاص بالتطبيق، وتأخير تغييرات الحساب عالية المخاطر، وإخطار الجهاز الحالي، واكتشاف إعادة التسجيل، وطلب مسار استرداد أقوى للمستخدمين الحساسين. يمكنها تقليل البيانات الموضوعة في محتوى الرسالة، وتجنب استخدام حدث اتصال كدليل وحيد على الهوية، ورسم خريطة لكل مزود خارجي مشارك في التسجيل والاسترداد.
يمكن لعملاء Twilio أيضًا فصل المشاريع وبيانات الاعتماد، واستخدام مفاتيح API مقيدة، وتدوير الأسرار المكشوفة، وتصدير أحداث المنصة. يوصيدليل المطور لمكافحة الاحتيالالخاص بالشركة بمشغلات الاستخدام والقيود الجغرافية والحسابات الفرعية وتدوير المفاتيح السريع لإساءة استخدام جانب العميل. تهدف هذه الضوابط بشكل أساسي إلى اختراق أو احتيال في حساب العميل الخاص، وليس إلى موظف Twilio يعرض أداة داخلية. مع ذلك، فإنها تقلل من نصف قطر الانفجار المجاور وتعطي العميل إشارة مستقلة إذا انتقل المتسلل من الوصول إلى البيانات إلى توليد حركة المرور.
يجب أن يتتبع مراجعة الاعتماد المؤسسي الوظائف، وليس أسماء البائعين. "نستخدم Twilio" واسع جدًا. قد يستخدم فريق واحد الصوت القابل للبرمجة، وآخر تنبيهات SMS، وآخر التحقق لمرة واحدة، وآخر دعم العملاء، وآخر Authy. لكل وظيفة بيانات مخزنة مختلفة، ووصول دعم، وسلوك فشل، وعلاج مستخدم. يجب أن يتطلب المشتري خريطة تدفق البيانات والسلطة لكل استخدام.
يعاملدليل البدء السريع لإدارة مخاطر سلسلة توريد الأمن السيبراني من NISTمزودي خدمات التكنولوجيا كجزء من سلسلة التوريد ويربط مخاطر المورد بالحوكمة بدلاً من الشراء لمرة واحدة. مطبقًا هنا، يجب على العملاء جرد تبعيات المزود، وتحديد الوظائف والبيانات الحرجة، وتحديد متطلبات إشعار الحوادث، والحصول على أدلة الضمان، وتخطيط البدائل. هذا أكثر تطلبًا من إضافة شرط خرق عام، لكنه يجعل العلاقة السحابية قابلة للإدارة.
تخصيص المساءلة لسلسلة Twilio
المهاجموناختاروا الموظفين، وحصلوا على تعيينات أرقام الهواتف، وانتحلوا أنظمة داخلية، وجمعوا بيانات الاعتماد والرموز، ودخلوا الأنظمة دون إذن، وبحثوا في بيانات العملاء. مسؤوليتهم عن الهجوم مباشرة. وصف الحملة بأنها منظمة أو منهجية يشرح القدرة؛ لا يعفي أي مالك تحكم.
فرق الأمن والهوية في Twilioتحكموا في بروتوكولات المصادقة، وسياسة موفر الهوية، ودورة حياة الجلسة، وVPN، والمراقبة، وربط الحوادث، وآليات الإلغاء. كانوا مسؤولين عن جعل سر الموظف المسروق غير كافٍ، واكتشاف الوصول غير المعتاد، وقطع كل جلسة مشتقة.
قادة المنتج والدعم في Twilioتحكموا في ما تعرضه الأدوات الإدارية وتسمح به. كانوا مسؤولين عن حدود المستأجر، وإخفاء البيانات، والرفع، وتسجيل القراءة، والإجراءات الحساسة، وما إذا كان دعم العملاء يمكن أن يعمل بسلطة أقل دائمة.
المديرون التنفيذيون في Twilio ومشرفو مجلس الإدارةتحكموا في الاستثمار، وقبول المخاطر، والضمان، والحوافز حول الإبلاغ. كانت مهمتهم ليس ضمان عدم نقر أي موظف أبدًا. بل طلب دليل على أن النقرة لا يمكنها فتح سلطة عميل واسعة وأن الحادث يمكن إعادة بنائه وإيصاله بسرعة.
العملاء المتأثرونتحكموا في بنية التطبيق النهائي واستجابة المستخدم. يُظهر حساب Signal احتواءً مسؤولاً: لقد رسم خريطة لبيانات المزود للمستخدمين، وحدد ما تم وما لم يتعرض، وأجبر على إعادة التسجيل، وأبلغ المستخدمين، وروج لقفل التسجيل. اعتمدت واجبات العملاء الآخرين على بياناتهم واستخدام المنتج.
وسطاء الهوية وشركات الاتصالات والاستضافة والمسجلون والمنصةتحكموا في أجزاء من البنية التحتية للهجوم. يمكن أن يؤدي الإجراء السريع إلى تقصير الحملة، لكن الإزالات المعزولة لم تستطع حل قدرة الخصم على التدوير. احتاج هؤلاء المزودون إلى أدلة قابلة للتشغيل المتبادل، وجهات اتصال تصعيد موثوقة، وتحليل تكرار بدلاً من سلسلة من تذاكر الإساءة غير المرتبطة.
الجهات التنظيمية والسلطات العامةكانت مسؤولة عن تلقي الإخطار، والتنسيق حيث تتداخل القوانين، والتحقيق في الانتهاكات المدعومة، وجعل النتائج المادية علنية عندما يكون ذلك ممكنًا قانونيًا. تقول Twilio إنها أبلغت الجهات التنظيمية المختصة وأجابت على أسئلتهم. لا يُظهر السجل العام الذي تمت مراجعته أمرًا تنظيميًا عامًا نهائيًا خاصًا بهذا الحادث، لذلك لا يمكن استخدامه للمطالبة إما بالموافقة التنظيمية أو انتهاك مثبت.
ما لا يزال السجل العام غير قادر على الإجابة عنه
أقوى تحليل للمساءلة يشير إلى المجهول بدلاً من ملئه بلغة واثقة. لم تحدد Twilio علنًا كيف تم تجميع أرقام هواتف الموظفين. اقترحت Group-IB أن الاستهداف المبكر لمؤسسات الاتصالات ربما زود ببعض الأرقام، لكن هذه فرضية حملة، وليست مصدرًا مثبتًا خاصًا بـ Twilio.
لا يذكر السجل العام عدد الموظفين الذين أدخلوا بيانات الاعتماد، وما هي العوامل التي استخدمها كل حساب متأثر، وما إذا كان المهاجمون قد التقطوا الرموز لمرة واحدة في الوقت الفعلي، أو ما إذا كان أي مسار استرداد متورطًا. لا يوفر جدولًا زمنيًا جلسة بجلسة من أول مصادقة ناجحة إلى 9 أغسطس.
لا ينشر المجموعة الكاملة للأدوات الداخلية التي تم الوصول إليها، أو صلاحية كل هوية موظف، أو قائمة لكل عميل بالحقول والإجراءات المعروضة. يقدم Signal تفاصيل لسكانه، لكن لا ينبغي تعميم هذه التفاصيل عبر العملاء الـ 208 الآخرين.
لا يُظهر ما إذا كان كل عميل متأثر قد تلقى معلومات كافية لإكمال الإخطار النهائي، أو مدى سرعة إخطار كل عميل، أو عدد المستخدمين النهائيين الذين تم الاتصال بهم في النهاية عبر الحادث بأكمله. لا يمكن تحويل رقم 209 إلى عدد سكان فردي.
لا يوفر اختبارًا عامًا مستقلاً لطرح FIDO2 المكتمل، أو مسارات الاحتياطي، أو إلغاء الرمز، أو قيود VPN، أو تخفيضات الأدوات الإدارية. قد تغطي وثائق الضمان اللاحقة بعض الضوابط بشكل سري، لكن يجب مراجعة نطاقها واستثناءاتها بدلاً من افتراضها.
أخيرًا، لا يثبت أنه كان هناك انقطاع لمنصة Twilio، أو أن المهاجمين وصلوا إلى محتوى الرسائل لجميع العملاء المتأثرين، أو أن مفاتيح API للعملاء سُرقت، أو أن كل مستخدم Signal يحتمل تعرضه أعيد تسجيله. تلك الادعاءات ستتجاوز الأدلة.
الاختبار الدائم هو مقدار السلطة التي يمكن لرسالة واحدة مقنعة شراؤها
يتم تلخيص حادث Twilio أحيانًا على أنه تصيد عبر SMS أثر على جزء صغير من العملاء. هذا الوصف قابل للدفاع حسابيًا وغير مكتمل تشغيليًا. الوحدة المهمة لم تكن النسبة المئوية لحسابات العملاء. كانت مقدار السلطة النهائية المتاحة بعد أن صادق موظف في المكان الخطأ.
بالنسبة لعميل واحد، لمس الوصول الناتج عملية تسجيل رقم هاتف استخدمها حوالي 1900 شخص يحتمل أن يكونوا متأثرين. بالنسبة لـ 93 مستخدمًا من Authy، تمت إضافة أجهزة غير مصرح بها إلى منتج مصادقة. عبر الحملة الأوسع، وصلت النطاقات الرخيصة والصفحات المستنسخة والرسائل النصية والرموز المعاد توجيهها بسرعة إلى أكثر من مائة مؤسسة. أنفق المهاجمون القليل لإنشاء نقطة اتصال أخرى. دفع المدافعون مرارًا لتحديد الإبلاغ والتحقق من الصحة والتعطيل والتحقيق والإخطار والإثبات.
تحرك رد Twilio المعلن في الاتجاه الفني الصحيح. غيرت مفاتيح FIDO2 افتراض المصادقة. قيدت الجلسات الأقصر والإلغاء الأوسع الوقت. قيدت الوظائف الإدارية المخفضة السلطة. حسّن التدريب وطرق الإبلاغ العامة والإزالات المنسقة الطبقات البشرية والطبقات البينية للمزود. هذه الإجراءات تستحق وزناً أكبر من اعتذار عام.
المساءلة لا تنتهي بالنشر، مع ذلك. يحتاج العملاء إلى دليل على أن المصادقة المقاومة للتصيد يتم فرضها دون احتياطي ضعيف، وأن أدوات الدعم تكشف فقط ما تتطلبه المهمة، وأن كل قراءة حساسة يمكن إرجاعها، وأن الجلسات المشبوهة يمكن إلغاؤها عبر التطبيقات، وأن أدلة الحادث الخاصة بالعميل يمكن أن تتحرك أسرع من واجب إخطار العميل. تحتاج مجالس الإدارة إلى مقاييس التغطية والاستثناء والتمرين ووقت الاستجابة. يحتاج المنظمون إلى حقائق كافية لتمييز نقرة مؤسفة عن تصميم تحكم غير معقول.
الدرس الدائم ليس أن الناس لا يمكن الوثوق بهم أو أن الاتصالات السحابية غير آمنة بشكل فريد. إنه أن الثقة في مزود سحابي تشمل موظفي المزود وواجهات الإدارة وبروتوكولات الهوية وجهات اتصال الإساءة وآلية الإخطار. رسالة مقنعة ستصل في النهاية إلى شخص ما في اللحظة الخطأ. النظام المسؤول هو المصمم بحيث تشتري الرسالة لا شيء تقريبًا، وتنتج إشارة فورية، وتترك سجلاً يمكن لكل عميل متأثر استخدامه.

