Gebruikers van 2FA-codegenerator Authy moeten deze app zo snel mogelijk updaten naar de nieuwste versie, als ze dat nog niet hebben gedaan. Door een onbeveiligd API-endpoint wisten hackers de telefoongegevens van miljoenen gebruikers van de twee-factorauthenticatie-app te bemachtigen, of liever gezegd, te bevestigen.
Het advies komt van Twilio, producent van het gelijknamige messaging- en communicatieplatform en sinds 2015 eigenaar van Authy. Eind juni lekte dreigingsgroep ShinyHunters een CSV-bestand met 33 miljoen telefoonnummers op de door henzelf beheerde illegale marktplaats BreachForums.
De groep claimde dat deze gegevens afkomstig waren van Authy. De eigenaars van de telefoonnummers kunnen in het slechtste geval uitkijken naar phishingpogingen, SIM-swapping en andere oplichters- en diefstalpraktijken.
Enorme hoeveelheid nummers ingevoerd in API-endpoint
Volgens BleepingComputer is de lijst samengesteld door een enorme hoeveelheid eerder buitgemaakte telefoonnummers in te voeren via het onbeveiligde API-endpoint. Alle geldige nummers gaven vervolgens informatie terug over de gekoppelde Authy-accounts. Het betreft dus niet per se een diefstal via Authy, maar een bevestiging van gekoppelde telefoonnummers. Waar de nummers oorspronkelijk vandaan komen, is vooralsnog niet duidelijk.
In een security-update meldt Twilio dat het blootgestelde endpoint inmiddels voldoende is beveiligd en niet-geauthenticeerde verzoeken tegenhoudt, indien die zich voordoen. Er zouden geen pogingen zijn gedaan om via gestolen gegevens in te loggen. De nieuwste versies van Authy zijn v25.1.0 op Android en v26.1.0 op iOS. Het is overigens de vraag hoe het updaten naar de nieuwste Authy-versie precies helpt tegen potentiële phishing en smishing-aanvallen, maar Twilio denkt mogelijk: better safe than sorry.
Puinruimen
Naast bovenstaand lek is Twilio ook bezig met puinruimen nadat een onbeveiligde AWS S3-bucket van een derde partij sms-data aan het internet bleek bloot te stellen die via Twilio-systemen was verzonden.
Het is niet de eerste keer dat Twilio te maken krijgt met een cyberaanval. In augustus 2022 kregen criminelen toegang tot klantgegevens door medewerkers van het bedrijf te misleiden via phishing-berichten. Die ontvingen toen sms-berichten met de mededeling dat hun wachtwoorden waren verlopen. De link in de sms’jes stuurde hen echter naar een kwaadaardige website. Een gevolg van deze breach was dat de buitgemaakte gegevens werden gebruikt om eenmalige wachtwoorden te onderscheppen van Twilio en Authy-gebruikers met een Okta-account.
Lees ook: Ticketmaster-incident toont: aanvallers breken niet meer in, maar loggen in