Os hackers não conseguiram entrar na rede do serviço Authy, mas exploraram uma API que permitiu validar se alguns dados estavam associados a contas existentes, incluindo números de telefone. Isto confirma um leak ocorrido em Junho, em que um grupo de hackers ShinyHunters disponibilizou um ficheiro que dizia ser referente a mais de 33 milhões utilizadores Authy, com o seu número de conta, número de telefone, estado da conta e número de dispositivos associados.
Através deste meio, os hackers puderam fazer um ataque brute-force, correndo todos os números de telefone possíveis (por exemplo, do 111111111 ao 999999999), e a própria plataforma dizia se era um número associado a uma conta existente.
A Twilio recomenda que os utilizadores façam a actualização para as versões mais recentes do Authy Android (v25.1.0) e iOS App (v26.1.0), com diversas melhorias de segurança, e diz também já ter reforçado a segurança das suas API para que este tipo de ataque não volte a ser possível. De qualquer forma, estes dados (números de telefone) já foram expostos e já nada podem fazer quanto a isso.
Sinceramente não sei como se continua a confiar em serviços de 2FA e gestores de passwords com sincronização online. A conveniência da cloud dá sempre nisto. Os meus códigos 2FA estão na app da Google sem sincronização e guardei os códigos noutro sítio caso aconteça algo ao telemóvel e seja preciso restaurar. As minhas passwords estão no KeepPass e apesar de sincronizar a base de dados através do OneDrive com o meu telemóvel, como é previamente encriptada e exige um ficheiro chave que não está na cloud, mesmo que o serviço sofra um ataque os riscos são reduzidos.
ResponderEliminar