Търсене
Close this search box.

Twilio потвърди, че незащитена крайна точка на API е позволила на атакуващи да проверят телефонните номера на милиони потребители на многофакторното удостоверяване Authy, което ги е направило уязвими към SMS фишинг и атаки с подмяна на SIM карти.

Authy е мобилно приложение, което генерира кодове за многофакторно удостоверяване в уебсайтове, в които е активирано MFA.

В края на юни хакер на име ShinyHunters пусна CSV текстов файл, който според него съдържа 33 милиона телефонни номера, регистрирани в услугата Authy.

CSV файлът съдържа 33 420 546 реда, всеки от които съдържа идентификатор на акаунт, телефонен номер, колона „over_the_top“, статус на акаунта и брой устройства.

„Twilio установи, че извършителите са успели да идентифицират данни, свързани с Authy акаунти, включително телефонни номера, благодарение на неаутентикирана крайна точка. Предприехме действия за обезопасяване на тази крайна точка и вече не позволяваме неавтентифицирани заявки“, заявиха от Twilio пред.

„Не сме видели доказателства, че бандитите са получили достъп до системите на Twilio или други чувствителни данни. Като предпазна мярка молим всички потребители на Authy да актуализират приложенията си за Android и iOS до най-новите актуализации за сигурност и насърчаваме всички потребители на Authy да останат внимателни и да имат повишена осведоменост относно фишинг и смишинг атаките.“

През 2022 г. Twilio разкри, че е претърпяла пробиви през юни и август, които са позволили на извършителите да пробият инфраструктурата ѝ и да получат достъп до информация за клиентите на Authy.

Злоупотреба с незащитени API

BleepingComputer е научил, че данните са били събрани чрез подаване на огромен списък с телефонни номера в незащитена крайна точка на API. Ако номерът е бил валиден, крайната точка е връщала информация за свързаните с него акаунти, регистрирани в Authy.

Сега, когато API е подсигурен, вече не може да се злоупотребява с него, за да се провери дали даден телефонен номер се използва с Authy.

Тази техника е подобна на начина, по който  заплахите са злоупотребили с незащитените API на Twitter и API на Facebook, за да съставят профили на десетки милиони потребители, които съдържат както публична, така и непублична информация.

Макар че скрейпването на Authy съдържаше само телефонни номера, те все пак могат да бъдат от полза за потребители, които искат да провеждат smishing и SIM swapping атаки за пробив в акаунти.

ShinyHunters намеква за това в публикацията си, като заявява: „Момчета, можете да се присъедините към него на Gemini или Nexo db“, което предполага, че  заплахите сравняват списъка с телефонни номера с тези, изтекли при предполагаемите нарушения на данните на Gemini и Nexo.

Ако бъдат открити съвпадения, атакуващите могат да се опитат да извършат атаки за размяна на SIM карти или фишинг атаки, за да пробият сметките за обмен на криптовалута и да откраднат всички активи.

Twilio вече пусна нова актуализация на сигурността и препоръчва на потребителите да обновят приложението Authy за Android (v25.1.0) и iOS (v26.1.0), което включва актуализации на сигурността. Не е ясно как тази актуализация на сигурността помага за защитата на потребителите от  заплахи, които използват изстърганите данни в атаки.

Потребителите на Authy също така трябва да се уверят, че техните мобилни акаунти са конфигурирани да блокират прехвърлянето на номера без предоставяне на код за достъп или изключване на защитите за сигурност.

Освен това потребителите на Authy трябва да са нащрек за потенциални SMS фишинг атаки, които се опитват да откраднат по-чувствителни данни, като например пароли.

В това, което изглежда несвързано нарушение, Twilio също започна да изпраща уведомления за нарушаване на сигурността на данните, след като незащитено хранилище  AWS S3 на трети доставчик изложи на риск данни, свързани с SMS, изпратени чрез компанията.

Източник: По материали от Интернет

Подобни публикации

5 октомври 2024

Сривът на киберфирмата на елита от националнaта...

Сривът на IronNet: Някои твърдят, че фирмата се е сринала отчасти з...
5 октомври 2024

Рансъмуерът удря критичната инфраструктура, а р...

Финансовото въздействие на кибератака, насочена към киберфизична си...
4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
Бъдете социални
Още по темата
04/10/2024

Използвана уязвимост на Iva...

Тази седмица Ivanti и американската агенция...
03/10/2024

Криптопортфейли, насочени ч...

Потребителите на популярни портфейли за криптовалута...
03/10/2024

Пробив с нулев ден в Racks...

Корпоративният хост за облачни услуги Rackspace...
Последно добавени
05/10/2024

Сривът на киберфирмата на е...

Сривът на IronNet: Някои твърдят, че...
05/10/2024

Рансъмуерът удря критичната...

Финансовото въздействие на кибератака, насочена към...
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!