云通信公司 Twilio 表示,一些客户的数据被攻击者访问,这些攻击者在短信网络钓鱼攻击中窃取员工凭证后破坏了内部系统。
Twilio 在周末表示:“攻击者使用窃取的凭据访问我们的一些内部系统,在那里他们能够访问某些客户数据。”该公司还透露,攻击者在欺骗并窃取了网络钓鱼事件中针对的多名员工的凭据后,获得了对其系统的访问权限。
调查后发现,最开始是部分员工遭短信钓鱼攻击,黑客拿到员工账号密码后,以此当跳板又获取部分用户的敏感信息。安全研究员分析后得知,黑客冒充公司IT部门,谎称密码已过期,骗员工访问钓鱼页面修改密码,达成目的。但官方并未透露诸如受影响用户数量、受影响员工数量等数据,需要等一手提交给政府的调查报告。
该公司还在 2021 年 5 月披露,它受到去年 Codecov 供应链攻击的影响,攻击 者修改了合法的 Codecov Bash Uploader 工具,以窃取 Codecov 客户的凭据、密钥和用户令牌。
Twillio 在 17 个国家/地区的 26 个办事处拥有 5,000 多名员工,提供可编程的语音、文本、聊天、视频和电子邮件 API,被超过 1000 万开发人员和 150,000 家企业用于构建客户参与平台。
Twilio 还在2015 年 2 月收购了 Authy,这是一个流行的双因素身份验证 (2FA) 提供商,面向最终用户、开发人员和在全球拥有数百万用户的企业。
那我们该如何防范呢?
1、个人方面
使用手机的时候,关闭一些不必要的功能。例如“附近的人”、“常去地点”、“允许搜索”、“允许查看”等功能;
不直接使用手机浏览器进行购物,应用程序退出要彻底,不下载来历不明的山寨软件;
不要随意连接公共wifi,出门关闭wifi连接功能,家庭网络开启防火墙功能,以免自家网络被蹭,让病毒或恶意攻击乘虚而入;
网购谨防钓鱼软件,不要随意打开非HTTPS开头的连接;
不要随意丢弃含有大量个人隐私数据的旧手机;
浏览网站等行为进行身份匿名、属性匿名、关系匿名和位置匿名;
防止电脑中毒,不随意打开陌生电子邮件及钓鱼网站;
经常更改密码,不使用简单密码;
多了解一些导致数据泄露的手段和方式增强自身个人隐私数据安全防范意识。
2、企业方面
增强管控措施,增强内部员工的防范意识,加强对IT人员的操作监管、操作审计和事前严格控制;
从技术上防止数据泄露,例如企业邮箱应部署邮件加密证书全程加密传输,全面保障数据安全;为官网部署SSL证书,进行HTTPS加密防止数据在传送过程中被窃取、篡改,保证数据的完整性;防止运营商的流量劫持、网页广告植入现象;
实时进行网络监控,发现可疑问题或者恶意攻击及时处理和解决,防患于未然;
选择安全、稳定、可靠、防御系数高的数据托管服务提供商。
数据的访问控制,在一定程度上可以解决个人隐私的泄露问题。目前,各社交网站对隐私功能进行划分,让用户可以在不同的朋友圈里分享信息,由用户自己决定哪些信息可以被哪些人看到,这是大数据时代保护个人隐私发展的一种趋势。
总的来说,大数据的个人隐私保护还处于起步阶段,尽管隐私保护对用户来说是一个重要的问题,但是企业不愿为了实施隐私保护,而不能充分利用用户信息或者为用户提供更好的服务,以至于限制企业的发展或在市场上的竞争力。我们相信以后会有一个完整和可理解的安全解决方案来满足个人隐私保护的需求。
Twilio披露对员工进行短信网络钓鱼攻击后的数据泄露!
发布日期:2022-08-30
标签:Twilio
领取优惠
提交成功!