Twilio cho biết hacker đã xác định số điện thoại di động của người dùng ứng dụng xác thực hai yếu tố Authy
Vào tuần trước, một hacker tuyên bố đã đánh cắp 33 triệu số điện thoại từ ông lớn gửi tin nhắn Twilio của Mỹ. Vào thứ Ba, Twilio đã xác nhận với TechCrunch rằng 'tác nhân đe dọa' đã có thể xác định số điện thoại của những người sử dụng Authy, một ứng dụng xác thực hai yếu tố phổ biến do Twilio sở hữu.
Trong một bài đăng trên diễn đàn hack nổi tiếng, hacker hoặc hacker được biết đến với tên ShinyHunters viết rằng họ đã hack Twilio và thu được số điện thoại di động của 33 triệu người dùng.
Người phát ngôn của Twilio, Kari Ramirez, cho biết công ty 'đã phát hiện ra rằng tác nhân đe dọa đã có thể xác định dữ liệu liên quan đến các tài khoản Authy, bao gồm số điện thoại, do một điểm cuối không được xác thực. Chúng tôi đã thực hiện biện pháp để bảo vệ điểm cuối này và không cho phép các yêu cầu không được xác thực nữa'.
'Chúng tôi chưa thấy bằng chứng cho thấy tác nhân đe dọa đã tiếp cận các hệ thống của Twilio hoặc dữ liệu nhạy cảm khác. Là một biện pháp phòng ngừa, chúng tôi đề nghị tất cả người dùng Authy cập nhật ứng dụng Android và iOS mới nhất để nhận cập nhật bảo mật mới nhất và khuyến khích tất cả người dùng Authy cẩn thận và nâng cao ý thức xung quanh các cuộc tấn công lừa đảo qua email và tin nhắn ngắn'.
Twilio cũng đã đăng một cảnh báo trên trang web chính thức vào thứ Hai, bao gồm cùng một tuyên bố.
Liên hệ chúng tôi
Bạn có thông tin thêm về sự cố Twilio/Authy này không? Từ một thiết bị không phải làm việc, bạn có thể liên hệ với Lorenzo Franceschi-Bicchierai một cách an toàn trên Signal theo số +1 917 257 1382, hoặc qua Telegram, Keybase và Wire @lorenzofb, hoặc email. Bạn cũng có thể liên hệ với TechCrunch qua SecureDrop.Mặc dù việc thu thập một danh sách số điện thoại - một cách riêng lẻ - có vẻ không nguy hiểm nhất trong các vụ vi phạm dữ liệu, nhưng vẫn có thể đe dọa đến những người sở hữu những số đó.
'Nếu những kẻ tấn công có thể liệt kê một danh sách số điện thoại người dùng, thì những kẻ tấn công đó có thể giả mạo Authy/Twilio đến những người dùng đó, tăng cường độ tin cậy trong một cuộc tấn công lừa đảo vào số điện thoại đó', Rachel Tobac, một chuyên gia về kỹ thuật xã hội và Giám đốc điều hành của SocialProof Security, nói với TechCrunch.
Tobac giải thích rằng bây giờ kẻ tấn công có thể chọn mục tiêu cụ thể là những người họ biết là người dùng Authy, cho phép kẻ tấn công tạo cảm giác như những tin nhắn độc hại của họ thực sự đến từ Authy và Twilio.
Vào năm 2022, Twilio đã trải qua một vụ vi phạm dữ liệu lớn hơn, khi một nhóm hacker truy cập dữ liệu của hơn 100 khách hàng của công ty. Những hacker sau đó đã tiến hành một chiến dịch lừa đảo rộng lớn dẫn đến việc đánh cắp khoảng 10.000 chứng chỉ nhân viên từ ít nhất 130 công ty. Như một phần của vụ vi phạm ấy vào thời điểm đó, Twilio cho biết những hacker đã mục tiêu thành công 93 người dùng Authy cá nhân và đã có thể đăng ký các thiết bị khác trên tài khoản Authy của những nạn nhân, cho phép họ hiệu quả đánh cắp mã xác thực hai yếu tố thực sự.
CẬP NHẬT, 12:52 giờ ET: Câu chuyện này đã được sửa để làm rõ rằng vụ vi phạm dữ liệu Twilio năm 2022 không liên quan trực tiếp đến chiến dịch lừa đảo dẫn đến việc đánh cắp khoảng 10.000 chứng chỉ nhân viên từ một số công ty. Hai cuộc tấn công được cho là do cùng một nhóm tác nhân đe dọa thực hiện.
