Twilio heeft een kritieke update uitgegeven voor hun Authy-app, die wordt gebruikt voor tweestapsverificatie (2FA), nadat een kwetsbaarheid werd ontdekt waardoor kwaadwillenden in staat waren om telefoonnummers te identificeren die gekoppeld zijn aan Authy-accounts via een niet-geauthenticeerd toegangspunt.
Details van het Incident
Twilio heeft vastgesteld dat de kwaadwillenden toegang hebben verkregen tot gegevens die geassocieerd zijn met Authy-accounts, inclusief de telefoonnummers, te wijten aan een niet-geauthenticeerd toegangspunt. Het bedrijf heeft meteen maatregelen genomen om dit toegangspunt te beveiligen en staat geen niet-geauthenticeerde verzoeken meer toe. Hoewel er geen bewijs is dat de aanvallers toegang hebben gehad tot andere gevoelige gegevens van Twilio, wordt alle gebruikers van Authy geadviseerd om te updaten naar de nieuwste versies van de apps voor Android en iOS om hun accounts te beveiligen.
Voorzorgsmaatregelen en Vereiste Update
Om hun accounts te beschermen, dienen gebruikers hun apps bij te werken naar de nieuwste beschikbare versies.
Hoewel de Authy-accounts zelf niet zijn gecompromitteerd, kunnen de geassocieerde telefoonnummers gebruikt worden in phishing- en smishing-aanvallen. Twilio verzoekt gebruikers op hun hoede te zijn en voorzichtigheid te betrachten met de sms-berichten die zij ontvangen.
Officiële Verklaringen
Kari Ramirez, woordvoerster van Twilio, meldde aan TechCrunch: “We hebben gedetecteerd dat kwaadwillenden in staat waren gegevens te identificeren die geassocieerd zijn met Authy-accounts, inclusief de telefoonnummers, vanwege een niet-geauthenticeerd toegangspunt. We hebben maatregelen genomen om dit toegangspunt te beveiligen en staan geen niet-geauthenticeerde verzoeken meer toe. Als voorzorgsmaatregel verzoeken we alle gebruikers van Authy om naar de nieuwste versies van de Android- en iOS-apps te updaten om te profiteren van de nieuwste veiligheidsupdates en moedigen we iedereen aan om waakzaam te blijven voor mogelijke phishing- en smishing-aanvallen.”
Aanvullende Context
Vorige week beweerde een hacker die bekend staat als ShinyHunters dat hij 33 miljoen telefoonnummers van Twilio heeft gestolen. Hoewel het verkrijgen van een lijst van telefoonnummers op zichzelf niet enorm gevaarlijk lijkt, vertegenwoordigt het nog steeds een aanzienlijke dreiging. Aanvallers kunnen zich voordoen als Authy of Twilio, waardoor de geloofwaardigheid van hun phishing-aanvallen op die nummers toeneemt. Rachel Tobac, een expert in sociale engineering en CEO van SocialProof Security, legde uit dat de hackers nu specifiek Authy-gebruikers kunnen targeten, waardoor hun kwaadaardige berichten oprecht lijken.
De snelle reactie van Twilio om het niet-geauthenticeerd toegangspunt te beveiligen en de aanbeveling om de Authy-apps te updaten, benadrukken hun inzet voor de veiligheid van gebruikers. Het is cruciaal dat gebruikers deze aanbevelingen opvolgen om hun accounts te beschermen en waakzaam te blijven tegen mogelijke phishing- en smishing-aanvallen.