Twilio:有人闯入我们不安全的AWS S3思洛存储器

2020-07-22 22:45:09

独家Twilio今天证实,一名或多名不法分子潜入其不安全的云存储系统,并修改了客户使用的JavaScript SDK的副本。

云通信巨头在一位不愿透露姓名的消息人士向我们透露了安全失误后,向注册中心详细说明了入侵事件。简而言之,有人能够进入Twilio的Amazon Web Services S3存储桶,该存储桶没有受到保护,并且是全球可写的,并对TaskRouter v1.20SDK进行了修改,使其包含似乎主要用于跟踪修改是否起作用的非恶意代码。

一位发言人告诉我们,Twilio认为我们客户账户的安全是最重要的。

";我们可以确认TaskRouter v1.20 SDK包含外部第三方由于错误配置S3存储桶而插入的非恶意修改。我们意识到了这一事件,并立即着手关闭S3错误配置并审核所有S3存储桶。

这些措施在12小时内实施,以解决问题。我们目前没有证据表明任何客户数据被坏人访问过。此外,恶意方在任何时候都不能访问Twilio的内部系统、代码或数据。

JavaScript SDK是Twilio推荐的方法,用于将您的业务事件(如来自客户的来电和来自监控系统的警报)链接到其TaskRouter平台,该平台可将呼叫和工作路由到您的员工。例如,如果喜欢说西班牙语的人在您的网站上点击了Call Me,I Need Help(呼叫我,我需要帮助)按钮,您的Web应用程序就会使用TaskRouter SDK创建一个任务,在本例中是立即呼叫此客户,该任务会通过队列发送给会说西班牙语并处理呼叫的工作人员。

我们的消息来源警告我们:Twilio发生了一起安全事件。恶意JavaScript被添加到TaskRouter SDK中大约10个小时。当我们按Twilio询问有关注入SDK的非恶意代码性质的更多信息时,Twilio告诉我们:

具体地说,修改将代码添加到TaskRouter.jsv1.20SDK的末尾,该SDK向hxxps://gold.platinumus.top/track/awswrite?q=dmn发出HTTP get请求,并跟随该请求在HTML中返回的url。

根据该代码片段判断,这看起来像是一次险些发生的失误,访问系统的人只是简单地在代码库周围探查,看看他们可以在任何重大或危险的更改之前对S3存储桶中的哪些内容进行潜在的更改。从涉及的URL来看,这似乎是试图安装支付卡掠夺器-RiskIQ在其他S3存储桶中发现了同样的URL,成为不法分子的目标。

鉴于TaskRouter.js充当业务应用程序和TaskRouter服务之间的纽带之一,这可能是一种更严重的攻击。Twilio告诉我们,他们计划在未来几天发布一份报告,提供更多关于这起事件的信息。同时,如果您最近下载并部署了SDK的副本,您可能需要检查您是否有干净的版本。®。

The Register-独立于科技界的新闻和观点。情况发布的一部分