A Twilio megerősítette, hogy egy nem biztonságos API lehetővé tette a fenyegető szereplők számára, hogy több millió Authy MFA hitelesített felhasználó telefonszámát megszerezzék. Ez SMS adathalász és SIM csere támadások veszélyének teszi ki a tulajdonosukat.
Az Authy egy mobilalkalmazás, amely többfaktoros hitelesítési kódokat generál azokhoz a webhelyeken, ahol engedélyezve van az MFA.
2024 június végén a ShinyHunters nevű csoport megosztott egy CSV szöveges fájlt egy hackerfórumon, amely az Authy szolgáltatásban regisztrált telefonszámokat tartalmazza. A CSV fájl 33 420 546 sor, amelyek mindegyike tartalmaz egy fiókazonosítót, telefonszámot, egy “over_the_top” oszlopot, a fiók státuszát és az eszközök számát.
Az adatokat úgy állították össze, hogy a telefonszámok hatalmas listáját táplálták be a nem biztonságos API-ba. Ha a szám érvényes volt, a végpont visszaadta az Authy-nál regisztrált kapcsolódó fiókok adatait.
Ez a technika hasonló ahhoz, ahogyan korábban a támadók visszaéltek egy nem biztonságos Twitter és Facebook API-val, hogy több tízmillió felhasználó profilját állítsák össze, amelyek nyilvános és nem nyilvános információkat egyaránt tartalmaznak.
A Twilio nem látta annak bizonyítékát, hogy a fenyegető szereplők hozzáférést szereztek volna a rendszereikhez vagy más érzékeny adatokhoz.
Bár az Authy scrape csak telefonszámokat tartalmaz, ezek még mindig alkalmasak lehetnek smishing és SIM csere támadások végrehajtására. A felhasználóknak figyelniük kell a potenciális SMS adathalászhalász támadásokra, amelyek érzékenyebb adatokat, például jelszavakat próbálnak ellopni.
A Twilio biztonsági frissítést adott ki, és azt ajánlja a felhasználóknak, hogy frissítsék az Authy Android (v25.1.0) és iOS App (v26.1.0) alkalmazást, amely biztonsági frissítéseket tartalmaz. Az Authy felhasználóknak javasolt, hogy mobilfiókjaik úgy legyenek beállítva, hogy jelszó megadása vagy a biztonsági védelem kikapcsolása nélkül blokkolják a számok átvitelét.