另一個Twilio駭客事件受害者出面了，Okta：用戶的一次性密碼遭存取

繼Signal之後，另一個被Twilio駭客事件殃及的受害者出面了，專門提供身分認證與存取管理服務的Okta上周指出，駭客盜走了Twilio員工的憑證，用以存取了Okta客戶的電話號碼，以及透過Twilio服務傳送的一次性密碼。

Twilio為美國的雲端通訊平臺，提供工具予客戶撥打或接收電話與文字簡訊，並有各種可執行其它通訊功能的API，而Okta則是美國的身分與存取管理業者，協助企業管理用來進入各種應用程式的身分認證。

根據Okta的說法，該公司有各種認證機制供客戶選擇，包括以簡訊來遞送一次性密碼，並藉由兩家第三方服務來提供簡訊身分驗證服務，Twilio即為其中一家。

而在Twilio員工的憑證遭駭之後，調查發現駭客透過Twilio控制臺存取了Okta的客戶服務，有小部分Okta用戶的電話號碼，以及包含一次密碼的簡訊遭到駭客存取。

Okta進一步分析了駭客的足跡與受影響的用戶，顯示駭客透過Twilio控制臺搜尋了38組電話，而它們幾乎都隸屬於同一個組織，意味著這是個極有針對性的攻擊。Okta推測，駭客應該事先就透過其它的網釣活動取得了這些使用者的登入憑證，並觸發了基於簡訊的多因素認證，企圖藉由入侵Twilio系統找到相關的一次性密碼。而該一次性密碼的有效期間為5分鐘。

其實駭客還有存取其它的Okta用戶電話資料，但Okta相信上述才是駭客的目標，其它的資料只是順道或意外。

Okta還揭露了另一件事，指出該以簡訊網釣攻擊Twilio的駭客集團在最近幾個月不斷地攻擊各多家科技業者，包括Okta在內，且Okta也已將此一駭客集團命名為Scatter Swine。

Okta曾多次發現Scatter Swine攻擊其它業者，而且Scatter Swine通常會建立多個網釣網站，在幾個小時內重複鎖定同一個組織發動攻擊。

之前Cloudflare亦披露曾遭簡訊網釣攻擊，雖未證實是否為同一集團所為，但Cloudflare因全公司都採用硬體金鑰而未被駭客得逞，至於Okta則說該公司是藉由強大的認證政策，阻止駭客存取員工帳號，並保護了應用程式的存取安全。

根據Okta的分析，Scatter Swine鎖定的攻擊對象包括科技業者、電信業者，以及與加密貨幣有關的個人及組織，通常採用接受比特幣的網名註冊及網站代管服務，看似從商業服務取得各組織的員工資料，再發動簡訊網釣攻擊，其攻擊介面企圖存取受害者的使用者名稱、密碼與一次性動態密碼。

Okta建議業者應採用強大的認證機制，嚴謹的認證政策，部署可偵測異常使用者行為的安全機制，啟用Network Zones來封鎖陌生網路的存取，或是限制可存取重要應用的裝置等。