Twilio a renunțat în cele din urmă la aplicația sa Authy pentru Desktop, deconectând forțat utilizatorii din aplicația de desktop.
În luna ianuarie, Twilio a anunțat că aplicațiile desktop Authy pentru Windows, macOS și Linux vor ajunge la sfârșitul ciclului de viață la 19 martie 2024 și vor fi în cele din urmă întrerupte în august 2024.
Deși aplicațiile desktop au continuat să funcționeze și după luna martie, atunci când erau deschise, apăreau o alertă avertizând că programul a ajuns la sfârșitul ciclului de viață și că utilizatorii ar trebui să treacă imediat la versiunile mobile.
Această situație s-a încheiat acum aproximativ treisprezece zile, când Twilio i-a deconectat forțat pe toți utilizatorii de dispozitive desktop din conturile lor Authy și nu le-a mai permis să se reconecteze cu numerele lor de telefon.
Cei care au continuat să folosească Authy pentru Desktop, chiar și după toate avertismentele, au descoperit că conturile lor de autentificare în doi pași au dispărut, cu excepția cazului în care le sincronizaseră anterior cu un dispozitiv mobil.
Cu toate acestea, cei care au sincronizat aplicațiile de desktop cu versiunile mobile au descoperit că unele dintre tokenurile lor nu s-au sincronizat corect, făcându-le conturile asociate inaccesibile.
În luna iunie, actorii de amenințare au descoperit un API Authy neasigurat care putea fi folosit pentru a verifica dacă un număr de telefon era asociat cu un cont valid.
Acești actori de amenințare au alimentat milioane de numere de telefon în API, permițându-le să creeze profiluri pentru 33 de milioane de numere de telefon din Authy, care au fost ulterior divulgate pe un forum de hacking.
Twilio a remediat problema securizând API-ul și lansând o versiune actualizată a aplicației mobile. Unii cred că utilizatorii de desktop Authy nu se pot conecta deoarece aplicația de desktop nu a fost actualizată cu noua soluție pentru API.
Cu toate acestea, în luna iunie, Authy a lansat versiunea 3.0, afirmând că aceasta va fi ultima versiune pentru desktop, așa că este puțin probabil să mai vedem încă una.
BleepingComputer a contactat Twilio cu întrebări legate de încheierea Authy pentru desktop, dar un răspuns nu a fost disponibil imediat.
Hackerii au abuzat de API pentru a verifica milioane de numere de telefon pentru autentificare în doi pași cu Authy
Băncile din Singapore vor elimina parolele unice în 3 luni
Raportul dur asupra atacului cibernetic asupra Medibank evidențiază autentificarea în doi pași neimplementată
Cum să răspunzi cerințelor în evoluție ale autentificării în doi pași în peisajul actual al amenințărilor
Leave a Reply