Twilio потвърди, че незащитена крайна точка на API е позволила на атакуващи да проверят телефонните номера на милиони потребители на многофакторното удостоверяване Authy, което ги е направило уязвими към SMS фишинг и атаки с подмяна на SIM карти.
Authy е мобилно приложение, което генерира кодове за многофакторно удостоверяване в уебсайтове, в които е активирано MFA.
В края на юни хакер на име ShinyHunters пусна CSV текстов файл, който според него съдържа 33 милиона телефонни номера, регистрирани в услугата Authy.
CSV файлът съдържа 33 420 546 реда, всеки от които съдържа идентификатор на акаунт, телефонен номер, колона „over_the_top“, статус на акаунта и брой устройства.
„Twilio установи, че извършителите са успели да идентифицират данни, свързани с Authy акаунти, включително телефонни номера, благодарение на неаутентикирана крайна точка. Предприехме действия за обезопасяване на тази крайна точка и вече не позволяваме неавтентифицирани заявки“, заявиха от Twilio пред.
„Не сме видели доказателства, че бандитите са получили достъп до системите на Twilio или други чувствителни данни. Като предпазна мярка молим всички потребители на Authy да актуализират приложенията си за Android и iOS до най-новите актуализации за сигурност и насърчаваме всички потребители на Authy да останат внимателни и да имат повишена осведоменост относно фишинг и смишинг атаките.“
През 2022 г. Twilio разкри, че е претърпяла пробиви през юни и август, които са позволили на извършителите да пробият инфраструктурата ѝ и да получат достъп до информация за клиентите на Authy.
BleepingComputer е научил, че данните са били събрани чрез подаване на огромен списък с телефонни номера в незащитена крайна точка на API. Ако номерът е бил валиден, крайната точка е връщала информация за свързаните с него акаунти, регистрирани в Authy.
Сега, когато API е подсигурен, вече не може да се злоупотребява с него, за да се провери дали даден телефонен номер се използва с Authy.
Тази техника е подобна на начина, по който заплахите са злоупотребили с незащитените API на Twitter и API на Facebook, за да съставят профили на десетки милиони потребители, които съдържат както публична, така и непублична информация.
Макар че скрейпването на Authy съдържаше само телефонни номера, те все пак могат да бъдат от полза за потребители, които искат да провеждат smishing и SIM swapping атаки за пробив в акаунти.
ShinyHunters намеква за това в публикацията си, като заявява: „Момчета, можете да се присъедините към него на Gemini или Nexo db“, което предполага, че заплахите сравняват списъка с телефонни номера с тези, изтекли при предполагаемите нарушения на данните на Gemini и Nexo.
Ако бъдат открити съвпадения, атакуващите могат да се опитат да извършат атаки за размяна на SIM карти или фишинг атаки, за да пробият сметките за обмен на криптовалута и да откраднат всички активи.
Twilio вече пусна нова актуализация на сигурността и препоръчва на потребителите да обновят приложението Authy за Android (v25.1.0) и iOS (v26.1.0), което включва актуализации на сигурността. Не е ясно как тази актуализация на сигурността помага за защитата на потребителите от заплахи, които използват изстърганите данни в атаки.
Потребителите на Authy също така трябва да се уверят, че техните мобилни акаунти са конфигурирани да блокират прехвърлянето на номера без предоставяне на код за достъп или изключване на защитите за сигурност.
Освен това потребителите на Authy трябва да са нащрек за потенциални SMS фишинг атаки, които се опитват да откраднат по-чувствителни данни, като например пароли.
В това, което изглежда несвързано нарушение, Twilio също започна да изпраща уведомления за нарушаване на сигурността на данните, след като незащитено хранилище AWS S3 на трети доставчик изложи на риск данни, свързани с SMS, изпратени чрез компанията.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.