Twilio は本日、独占的に、1 人以上の悪意ある人物が同社の安全でないクラウド ストレージ システムに侵入し、同社が顧客と共有している JavaScript SDK のコピーを改変したことを確認しました。
クラウドコミュニケーション大手のTwilioは、匿名を希望する情報筋からセキュリティ上の失態について情報提供を受け、 The Register紙に侵入の詳細を報じました。簡単に言うと、何者かがTwilioのAmazon Web Services S3バケットに侵入し、保護されていない状態で誰でも書き込み可能な状態にすることで、TaskRouter v1.20 SDKを改変し、「悪意のない」コードを組み込んだということです。このコードは、主に改変が機能するかどうかを追跡するために設計されたものと思われます。
「Twilioは、顧客アカウントのセキュリティが最も重要であると考えています」と広報担当者は語った。
TaskRouter v1.20 SDKには、S3バケットの設定ミスが原因で、外部の第三者によって悪意のない変更が挿入されていたことが確認されました。当社はこのインシデントを認識し、直ちにS3の設定ミスを修正し、すべてのS3バケットを監査しました。
これらの対策は問題解決のため12時間以内に実施されました。現時点では、顧客データが悪意のある人物によってアクセスされたという証拠はありません。また、悪意のある第三者がTwilioの内部システム、コード、データにアクセスしたことはありません。
Twilioが開発者向けにTwicky twalkativeボットツールを改良:チャットアプリの自動操縦機能
続きを読む
JavaScript SDKは、顧客からの着信や監視システムからのアラートといったビジネスイベントをTwilioのTaskRouterプラットフォームにリンクするための推奨ツールです。Twilioは、通話やジョブをスタッフにルーティングします。例えば、スペイン語を話すことを好むユーザーがウェブサイトで「電話してください。ヘルプが必要です」というボタンをクリックすると、ウェブアプリはTaskRouter SDKを使用してタスク(この場合は「今すぐこの顧客に電話」)を作成し、キューを介してスペイン語を話せるスタッフにルーティングします。
情報筋は次のように警告しました。「Twilioでセキュリティインシデントが発生しました。悪意のあるJavaScriptが約10時間にわたってTaskRouter SDKに追加された状態でした。」Twilioに対し、SDKに挿入されたとされる「悪意のない」コードの性質についてさらに情報を求めると、Twilioは次のように答えました。
Twilio は挿入されたコードを軽視しているものの、関連する URL から判断すると、スクリプトはペイメント カード スキマーをインポートするか、広告を挿入しようとしているようです。RiskIQ は、悪意のあるユーザーが標的とした他の S3 バケットでも同じ URL を発見しています。
Twilioは、近日中にこのインシデントに関する詳細情報を記載したレポートを公開する予定だと発表しました。それまでの間、SDKのコピーを最近ダウンロードしてデプロイした場合は、クリーンなバージョンを使用していることを確認してください。®
7月22日追加更新
Twilioはインシデントレポートを公開しました。この変更は8時間もの間検知されず、S3のアクセスポリシーによってSDKが誰でも読み書き可能になっていたことで可能になったと報告されています。この開発キットは、公開されているS3バケット内のJavaScriptコードを狙ってブラウザに悪意のある広告を挿入する、自動化されたサイバー犯罪キャンペーンの一環として破壊されました。主な内容は次のとおりです。
誰にも知られないことを私たちに教えてください: 安全にご連絡ください。
