2024/07/06

Hackers obtêm 33 milhões de telefones registados no Authy

A Twilio confirmou que foi alvo de um ataque de hackers que tirou partido de uma API para validar números de telefone associados às contas Authy com autenticação multi-factor (MFA).

Os hackers não conseguiram entrar na rede do serviço Authy, mas exploraram uma API que permitiu validar se alguns dados estavam associados a contas existentes, incluindo números de telefone. Isto confirma um leak ocorrido em Junho, em que um grupo de hackers ShinyHunters disponibilizou um ficheiro que dizia ser referente a mais de 33 milhões utilizadores Authy, com o seu número de conta, número de telefone, estado da conta e número de dispositivos associados.

Através deste meio, os hackers puderam fazer um ataque brute-force, correndo todos os números de telefone possíveis (por exemplo, do 111111111 ao 999999999), e a própria plataforma dizia se era um número associado a uma conta existente.
Embora isto não tenha posto as contas Authy em risco, deixa estes utilizadores expostos a novas vagas de ataques, com campanhas de phishing, SIM swapping, ou SMS spoofing. Permite também que atacantes façam cruzamento de dados com leaks de outros sites e serviços, e possam iniciar ataques relacionados.

A Twilio recomenda que os utilizadores façam a actualização para as versões mais recentes do Authy Android (v25.1.0) e iOS App (v26.1.0), com diversas melhorias de segurança, e diz também já ter reforçado a segurança das suas API para que este tipo de ataque não volte a ser possível. De qualquer forma, estes dados (números de telefone) já foram expostos e já nada podem fazer quanto a isso.

1 comentário:

  1. Sinceramente não sei como se continua a confiar em serviços de 2FA e gestores de passwords com sincronização online. A conveniência da cloud dá sempre nisto. Os meus códigos 2FA estão na app da Google sem sincronização e guardei os códigos noutro sítio caso aconteça algo ao telemóvel e seja preciso restaurar. As minhas passwords estão no KeepPass e apesar de sincronizar a base de dados através do OneDrive com o meu telemóvel, como é previamente encriptada e exige um ficheiro chave que não está na cloud, mesmo que o serviço sofra um ataque os riscos são reduzidos.

    ResponderEliminar