Twilio Authy App támadás – több millió telefonszám szivároghatott ki

A Twilio, egy felhőalapú kommunikációs szolgáltató nemrégiben megerősítette, hogy ismeretlen fenyegető szereplők az Authy egy nem hitelesített végpontját kihasználva az Authy-fiókokhoz kapcsolódó adatokat, köztük a felhasználók mobiltelefonszámát is megszerezték. A bejelentés alig néhány nappal azután történt, hogy egy ShinyHunters nevű online szereplő a BreachForumson közzétett egy adatbázist, amelyben 33 millió, állítólag Authy-fiókokból megszerzett telefonszám szerepelt. Az Authy egy kétfaktoros hitelesítési (2FA) alkalmazás, amelyet a Twilio 2015 óta birtokol, és amely egy extra szintű fiókbiztonságot biztosít.

A betörés ellenére a Twilio kezdetben azt állította, hogy nincs bizonyíték arra, hogy a fenyegető szereplők hozzáférést szereztek volna a rendszereihez vagy más érzékeny adatokhoz. A vállalat azonban azt tanácsolta a felhasználóknak, hogy elővigyázatosságból frissítsék Android (25.1.0 vagy újabb verzió) és iOS (26.1.0 vagy újabb verzió) alkalmazásaikat a legfrissebb verzióra.

Később azonban a Twilio egy blogposztban végül elismerte a támadást és az adatok kiszivárgását.

A cég a felhasználóknak szánt figyelmeztetésében jelezte, hogy a Twilio nem talált bizonyítékot arra, hogy a hackerek hozzáférést szereztek volna a rendszereihez, vagy hogy más érzékeny adatokhoz jutottak volna hozzá, de elővigyázatosságból felszólította az Authy felhasználóit, hogy telepítsék a legújabb Android és iOS biztonsági frissítéseket.

“Bár az Authy-fiókok nem kerültek veszélybe, a fenyegető szereplők megpróbálhatják az Authy-fiókokhoz kapcsolódó telefonszámot adathalász- és smishing-támadásokhoz használni; arra biztatunk minden Authy-felhasználót, hogy maradjanak körültekintőek és legyenek fokozottan tudatában a kapott szöveges üzeneteknek” – közölte a Twilio.

(forrás)

(forrás)

(forrás)

(forrás)