Hims & amp; Hers y el Arte de la Llamada Traicionera.
El eslabón más débil no es un servidor
A veces olvidamos que detrás de cada firewall sofisticado y cada política de contraseñas de 20 caracteres, hay una persona. Los chicos de ShinyHunters lo saben perfectamente. En febrero de este año, no necesitaron un exploit de día cero ultra secreto para entrar en los sistemas de Hims & Hers. Simplemente levantaron el teléfono y empezaron a hablar.
Una llamada, un acceso total.
Con una llamada de «soporte técnico» bien ensayada, consiguieron que dos empleados les entregaran, casi sin darse cuenta, las llaves de su Okta SSO. Una vez que tuvieron el control de la identidad, el salto a la plataforma de Zendesk fue como abrir una puerta que nunca tuvo pestillo. El botín: miles de tickets de soporte con nombres, correos electrónicos y números de teléfono que ahora están en manos de quien nunca debió verlos.
Lecciones para el futuro: Menos push, más llaves físicas
Lo irónico es que Hims & Hers es una empresa que vende bienestar y cuidado personal, pero esta brecha nos recuerda que la salud de nuestra identidad digital es igual de frágil. La lección para los arquitectos de sistemas es brutalmente clara: si tu estrategia de seguridad se puede desmoronar por una voz convincente al otro lado de la línea, entonces no tienes seguridad, tienes una ilusión de ella.
Es hora de dejar de confiar ciegamente en las notificaciones «push» de aprobación en el móvil, que cualquiera puede aceptar por error o cansancio, y empezar a usar llaves físicas que no entienden de ingeniería social.
FUENTE: https://www.bleepingcomputer.com/news/security/hims-and-hers-notifies-customers-of-data-breach-after-zendesk-hack/
Fdo. Lautaro Enrique
C4E Friend I Security Analist & Networking
