Η εφαρμογή Authy της
Twilio
τόσο για iOS όσο και για
Android
, που έχει σχεδιαστεί για να διευκολύνει τους χρήστες να ζητούν έλεγχο ταυτότητας δύο παραγόντων (2FA) κατά την είσοδο σε μια εφαρμογή, κατά ειρωνικό τρόπο έχει παραβιαστεί με αποτέλεσμα την κλοπή αριθμών smartphone πελατών.
Σε μια ανάρτηση στο blog,
Η Authy έγραψε: “Η Twilio εντόπισε ότι οι φορείς απειλών ήταν σε θέση να αναγνωρίσουν δεδομένα που σχετίζονται με λογαριασμούς Authy, συμπεριλαμβανομένων αριθμών τηλεφώνου, λόγω μη επαληθευμένου τελικού σημείου. Έχουμε λάβει μέτρα για να ασφαλίσουμε αυτό το τελικό σημείο και να μην επιτρέπουμε πλέον αιτήματα χωρίς έλεγχο ταυτότητας.”
iOS
ή
Android
εκδόσεις της εφαρμογής για να εγκαταστήσετε τις πιο πρόσφατες ενημερώσεις ασφαλείας. Η Twilio προσθέτει, “Ενώ οι λογαριασμοί Authy δεν παραβιάζονται, οι φορείς απειλών μπορεί να προσπαθήσουν να χρησιμοποιήσουν τον αριθμό τηλεφώνου που σχετίζεται με τους λογαριασμούς Authy για επιθέσεις phishing και smishing· ενθαρρύνουμε όλους τους χρήστες του Authy να παραμείνουν επιμελείς και να έχουν αυξημένη ευαισθητοποίηση σχετικά με τα μηνύματα που λαμβάνουν.
Ο έλεγχος ταυτότητας δύο παραγόντων (2FA) απαιτεί τη χρήση δεύτερου επιπέδου προστασίας κατά την είσοδο σε μια εφαρμογή. Για παράδειγμα, αφού συνδεθείτε σε μια εφαρμογή, λαμβάνετε ένα
SMS
στο τηλέφωνό σας που περιέχει έναν κωδικό που πρέπει να πληκτρολογήσετε για να ανοίξετε την εφαρμογή. Αυτό εμποδίζει έναν εισβολέα να ανοίξει μία από τις εφαρμογές σας και να εισέλθει στον λογαριασμό σας, να αλλάξει τον κωδικό πρόσβασής σας και να σας ληστέψει τυφλούς. Αυτήν τη στιγμή, η Twilio λέει ότι τα δεδομένα πελατών που κλάπηκαν στο hack περιορίστηκαν σε αριθμούς τηλεφώνου.
Πρέπει να υποβάλετε τον αριθμό τηλεφώνου σας όταν ανοίγετε λογαριασμό στην Authy
Η Twilio κατηγορεί τη χρήση «μη επαληθευμένων τελικών σημείων» για την επιτυχή εισβολή και σημειώνει ότι έχει λάβει μέτρα για την ασφάλεια αυτού του τελικού σημείου και «δεν επιτρέπει πλέον αιτήματα χωρίς έλεγχο ταυτότητας». Μια αναφορά των μέσων ενημέρωσης ανεβάζει τον αριθμό των κλεμμένων τηλεφωνικών αριθμών σε 33 εκατομμύρια. Σε ένα γνωστό φόρουμ hacking, χάκερ γνωστοί ως ShinyHunters παραδέχθηκαν ότι χάκαραν το Twilio και έκλεψαν 33 εκατομμύρια αριθμούς κινητών τηλεφώνων.
Αν και η κλοπή αριθμών τηλεφώνου δεν θα πρέπει απαραίτητα να τρομάζει τους χρήστες του Authy, οι εισβολείς θα μπορούσαν να χρησιμοποιήσουν αυτούς τους αριθμούς για να καλέσουν ή να στείλουν
μήνυμα
στους συνδρομητές του Authy που έχουν πέσει θύματα. Οι εισβολείς θα μπορούσαν στη συνέχεια να προσποιηθούν ότι είναι από το Authy και να αναζητήσουν άλλες πληροφορίες χρήστη, συμπεριλαμβανομένων αριθμών κοινωνικής ασφάλισης, αριθμούς τραπεζικών λογαριασμών και άλλων ευαίσθητων προσωπικών δεδομένων. Να είστε προσεκτικοί όταν λαμβάνετε μια κλήση ή ένα μήνυμα που υποτίθεται ότι προέρχεται από την Twilio ή την Authy και μην αποκαλύπτετε προσωπικά δεδομένα ανεξάρτητα από το πόσο επίμονος είναι ο καλών ή το κείμενο.
Και αυτό το hack δεν έχει να κάνει με το αν το 2FA λειτουργεί για την προστασία των προσωπικών σας δεδομένων. Αν σας
αρέσει
το 2FA ως αποτρεπτικό, μην σταματήσετε να το χρησιμοποιείτε γιατί η Authy έχει δεχτεί επίθεση.
VIA:
phonearena.com
0