Een beveiligingsinbreuk van de bekende 2FA-applicatie Authy heeft ertoe geleid dat de aanvaller de telefoonnummers heeft verkregen van 33 miljoen gebruikers, waardoor zij mogelijk het risico lopen op toekomstige phishing-aanvallen.
Tweefactorauthenticatie (2FA) betekent dat wanneer u (of iemand die uw inloggegevens gebruikt) inlogt op een website of dienst, u bovendien wordt gevraagd om een eenmalige toegangscode die door een app wordt gegenereerd. Twilio’s Authy is een van de populairste 2FA-apps in de App Store en wordt tevens door veel crypto-gebruikers gebruikt om in te loggen op verschillende cryptobeurzen.
Een hacker beweerde vorige week de telefoonnummers van 33 miljoen Authy-gebruikers te hebben bemachtigd, en Twilio heeft dit nu bevestigd, zij het zonder het aantal accounts op te geven.
Twilio heeft ontdekt dat bedreigingsactoren gegevens konden identificeren die zijn gekoppeld aan Authy-accounts, inclusief telefoonnummers, vanwege een niet-geverifieerd eindpunt. De ontwikkelaar vraagt alle gebruikers dan ook om te updaten naar de nieuwste versie en alert te zijn op vage sms-berichten. Het reageerde als volgt:
“We hebben actie ondernomen om dit eindpunt te beveiligen en niet-geverifieerde verzoeken niet langer toe te staan. We hebben geen bewijs gezien dat de dreigingsactoren toegang hebben verkregen tot de systemen van Twilio of andere gevoelige gegevens.
Uit voorzorg verzoeken we alle Authy-gebruikers te updaten naar de nieuwste Android- en iOS-apps voor de nieuwste beveiligingsupdates. Hoewel Authy-accounts niet zijn gecompromitteerd, kunnen bedreigingsactoren proberen het telefoonnummer dat aan Authy-accounts is gekoppeld, te gebruiken voor phishing- en smishing-aanvallen; we moedigen alle Authy-gebruikers aan om ijverig te blijven en het bewustzijn te vergroten rond de teksten die ze ontvangen.”
Het grootste risico hierbij is dat een aanvaller nu drie dingen over jou weet:
- Jouw telefoon nummer
- Dat je 2FA gebruikt
- Dat je specifiek Authy gebruikt
Ze kunnen deze informatie gebruiken om overtuigend ogende teksten te maken, bijvoorbeeld van een van uw diensten waarin wordt geadviseerd dat er een probleem is met uw tweefactorauthenticatie en u wordt gevraagd deze opnieuw in te stellen. Of beweren Twilio te zijn.
TechCrunch meldt dat dezelfde hacker vermoedelijk achter een phishing-campagne zit die resulteerde in de diefstal van ongeveer 10.000 werknemerslogins bij verschillende bedrijven.