Twilio a confirmat că un endpoint API neasigurat a permis actorilor de amenințare să verifice numerele de telefon ale milioanelor de utilizatori de autentificare multi-factorială Authy, făcându-i potențial vulnerabili la atacuri de phishing prin SMS și schimbări de SIM.
Authy este o aplicație mobilă care generează coduri de autentificare multi-factorială pe site-urile web unde ai MFA activat.
La sfârșitul lunii iunie, un actor de amenințare numit ShinyHunters a dezvăluit un fișier text CSV care conține ceea ce pretind ei că sunt 33 de milioane de numere de telefon înregistrate la serviciul Authy.
Fișierul CSV conține 33.420.546 de rânduri, fiecare conținând un ID de cont, număr de telefon, un coloană „over_the_top”, stare cont și număr de dispozitive.
Twilio a confirmat acum pentru BleepingComputer că actorii de amenințare au compilat lista de numere de telefon folosind un endpoint API neautentificat.
„Twilio a detectat că actorii de amenințare au putut identifica date asociate cu conturile Authy, inclusiv numerele de telefon, datorită unui endpoint neautentificat. Am luat măsuri pentru a securiza acest endpoint și nu mai permitem cereri neautentificate,” a declarat Twilio către BleepingComputer.
„Nu am văzut nicio dovadă că actorii de amenințare au obținut acces la sistemele Twilio sau la alte date sensibile. Ca măsură de precauție, cerem tuturor utilizatorilor Authy să facă actualizarea la cele mai recente aplicații Android și iOS pentru cele mai recente actualizări de securitate și încurajăm toți utilizatorii Authy să rămână vigilenți și să aibă o conștientizare sporită în jurul atacurilor de phishing și smishing.”
BleepingComputer a aflat că datele au fost compilate alimentând o listă masivă de numere de telefon în endpointul API neasigurat. Dacă numărul era valid, endpointul returna informații despre conturile asociate înregistrate cu Authy.
Acum că API-ul a fost securizat, nu mai poate fi abuzat pentru a verifica dacă un număr de telefon este utilizat cu Authy.
Această tehnică este similară cu modul în care actorii de amenințare au abuzat un API neasigurat Twitter și Facebook pentru a compila profiluri ale zecilor de milioane de utilizatori care conțin informații atât publice, cât și non-publice.
În timp ce scurgerea de date Authy conținea doar numere de telefon, acestea pot fi totuși avantajoase pentru utilizatorii care doresc să efectueze atacuri de smishing și schimbări de SIM pentru a sparge conturile.
ShinyHunters aludează la acest lucru în postarea lor, afirmând: „Vă puteți alătura pe gemini sau Nexo db”, sugerând că actorii de amenințare compară lista de numere de telefon cu cele scurse în presupusele scurgeri de date Gemini și Nexo.
Dacă sunt găsite potriviri, actorii de amenințare ar putea încerca să efectueze atacuri de schimbare a SIM-ului sau atacuri de phishing pentru a sparge conturile de schimb valutar și a fura toate activele.
Twilio a lansat acum o nouă actualizare de securitate și recomandă utilizatorilor să efectueze upgrade la aplicațiile Authy Android (v25.1.0) și iOS (v26.1.0), care includ actualizări de securitate. Nu este clar cum această actualizare de securitate ajută să protejeze utilizatorii de actorii de amenințare care folosesc datele adunate în atacuri.
Utilizatorii Authy ar trebui, de asemenea, să se asigure că conturile lor mobile sunt configurate pentru a bloca transferurile de numere fără a furniza un cod de acces sau dezactivând protecțiile de securitate.
Mai mult, utilizatorii Authy ar trebui să fie atenți la posibilele atacuri de phishing prin SMS care încearcă să fure date mai sensibile, cum ar fi parolele.
În ceea ce pare a fi o scurgere de date neconexă, Twilio a început, de asemenea, să trimită notificări de scurgere de date după ce un bucket AWS S3 neasigurat al unui furnizor terț a expus date legate de SMS trimise prin companie.
Raportul dur asupra cyberatacului Medibank evidențiază MFA neimpus
Cum să răspunzi cerințelor MFA în evoluția peisajului amenințărilor actuale
Microsoft va începe să impună autentificarea multi-factor Azure în iulie
API-ul Dell abuzat pentru a fura 49 de milioane de înregistrări ale clienților într-o scurgere de date
Microsoft: Schimbări de securitate noi Outlook care vin pentru conturile personale
Leave a Reply