Twilio遭网络攻击后,黑客利用其访问权限窃取了Okta身份管理公司客户通过短信提供的一次性密码 (OTP)。
通过 Twilio 控制台,攻击者可以看到 Okta 客户的手机号码和 OTP。
早在8月4日,云通信公司 Twilio 发现未授权用户访问了其系统和客户信息。8日,Okta 获悉 Twilio 黑客攻击事件中暴露了“与 Okta 相关的部分数据”,并对不同运营商进行测试。查阅 Twilio 安全团队的内部系统日志,Okta 能够确定攻击者访问了属于其客户的电话号码和 OTP 代码。
当时,Twilio 提供了 Okta 用于身份验证。该公司指出,虽然 OTP 的有效期不超过五分钟。但当黑客在 Twilio 控制台中进行有关其客户的活动时,Okta 认为黑客有明确目标。
该公司表示,入侵者搜索了 38 个电话号码,几乎所有这些电话号码都与一个组织相关联,表明对该客户的网络有兴趣。[阅读原文]