A Twilio megerősítette, hogy egy nem biztonságos API révén több mint 33 millió Authy MFA hitelesített felhasználó telefonszáma szivárgott ki, ami komoly biztonsági kockázatot jelenthet az érintettek számára.
A Twilio bejelentette, hogy egy sebezhető API lehetőséget adott támadóknak arra, hogy megszerezzék milliók telefonszámát, akik az Authy többfaktoros hitelesítési alkalmazást használják. Ez az incidens növeli a kockázatot az SMS adathalász és SIM csere támadásokra.
Az Authy egy népszerű mobilalkalmazás, amely biztonsági kódokat generál azokhoz a webhelyekhez, ahol az MFA aktiválva van. A ShinyHunters nevű csoport június végén közzétett egy CSV fájlt egy hackerfórumon, amely az Authy felhasználók telefonszámait tartalmazza. A fájlban 33 420 546 sor található, mindegyik egy fiókazonosítót, telefonszámot, “over_the_top” oszlopot, a fiók státuszát és az eszközök számát tartalmazza.
Az adatokat úgy szerezték meg, hogy egy hatalmas telefonszám listát küldtek be a sebezhető API-ba, amely visszaadta az érvényes számokhoz kapcsolódó fiókok adatait. Ez a módszer hasonló ahhoz, ahogyan korábban támadók visszaéltek a Twitter és Facebook API-kal, hogy több tízmillió felhasználó profilját állítsák össze.
A Twilio hangsúlyozta, hogy nincs bizonyíték arra, hogy a támadók hozzáfértek volna rendszereikhez vagy más érzékeny adatokhoz.
Bár az Authy adatbázisban csak telefonszámok szerepelnek, ezek is elégségesek lehetnek smishing és SIM csere támadások végrehajtására. Az érintett felhasználóknak fokozottan figyelniük kell az SMS adathalász kísérletekre, amelyek érzékenyebb adatokat, például jelszavakat próbálnak megszerezni.
A Twilio már kiadott egy biztonsági frissítést, és arra ösztönzi a felhasználókat, hogy frissítsék az Authy alkalmazásukat Androidon (v25.1.0) és iOS-en (v26.1.0). Az Authy felhasználóknak azt is javasolják, hogy mobilfiókjaik beállításainál akadályozzák meg a számok átvitelét jelszó vagy biztonsági védelem kikapcsolása nélkül.
