Múlt héten egy hacker azt állította, hogy 33 millió telefonszámot lopott el az amerikai üzenetküldő óriáscégtől, a Twiliotól. Kedden a Twilio megerősítette a TechCrunchnak, hogy „fenyegető szereplők” képesek voltak azonosítani azoknak az embereknek a telefonszámát, akik a Twilio tulajdonában lévő Authy nevű népszerű kétfaktoros hitelesítési alkalmazást használják.
Súlyos adatlopás áldozata lett a Twilio
Egy ismert hackerfórumon közzétett bejegyzésében a ShinyHunters néven ismert hacker vagy hackerek azt írták, hogy feltörték a Twilio-t, és megszerezték 33 millió felhasználó mobiltelefonszámát.
A Twilio szóvivője, Kari Ramirez a TechCrunchnak elmondta, hogy a vállalat „észlelte, hogy a fenyegető szereplők képesek voltak azonosítani az Authy-fiókokhoz kapcsolódó adatokat, köztük a telefonszámokat, egy nem hitelesített végpont miatt. Intézkedéseket tettünk ennek a végpontnak a biztosítására, és többé nem engedélyezzük a nem hitelesített kéréseket”.
„Nem láttunk bizonyítékot arra, hogy a fenyegető szereplők hozzáférést szereztek volna a Twilio rendszereihez vagy más érzékeny adatokhoz. Elővigyázatosságból arra kérjük az összes Authy-felhasználót, hogy frissítsenek a legújabb Android és iOS alkalmazásokra a legújabb biztonsági frissítések miatt, és arra biztatjuk az összes Authy-felhasználót, hogy maradjanak szorgalmasak és fokozottan figyeljenek az adathalász- és smishing-támadásokra” – írta Ramirez egy e-mailben.
A Twilio hétfőn a hivatalos weboldalán is közzétett egy figyelmeztetést, amely ugyanezt a nyilatkozatot tartalmazta.
Bár a telefonszámok listájának megszerzése – önmagában – nem tűnik a legveszélyesebb adatlopásnak, mégis veszélyt jelenthet a számok tulajdonosaira nézve.
„Ha a támadók képesek a felhasználók telefonszámainak listáját felsorolni, akkor ezek a támadók úgy tehetnek, mintha ők lennének az Authy/Twilio ezekhez a felhasználókhoz, növelve ezzel az adott telefonszámhoz intézett adathalász-támadás hihetőségét” – mondta Rachel Tobac, a social engineering szakértője és a SocialProof Security vezérigazgatója a TechCrunchnak.
Tobac kifejtette, hogy a hackerek most már kifejezetten olyan embereket célozhatnak meg, akikről tudják, hogy Authy-felhasználók, így a támadóknak lehetőségük van arra, hogy úgy tűnjön, mintha a rosszindulatú üzeneteik valóban az Authy-tól és a Twilio-tól érkeznének.
A Twilio 2022-ben szenvedett el egy nagyobb adatbetörést, amikor hackerek egy csoportja több mint 100 vállalati ügyfél adataihoz jutott hozzá. A hackerek ezután széleskörű adathalászkampányt indítottak, amelynek eredményeképpen legalább 130 cégtől mintegy 10 000 munkavállaló hitelesítő adatait lopták el.
Az akkori betörés részeként a Twilio szerint a hackerek 93 Authy-felhasználót vettek sikeresen célba, és képesek voltak további eszközöket regisztrálni ezen áldozatok Authy-fiókjain, így gyakorlatilag valódi kétfaktoros kódokat tudtak ellopni.