Twilio mengatakan penjenayah mengenal pasti nombor telefon bimbit pengguna aplikasi Authy pengesahan dua faktor
Minggu lepas, seorang penjenayah mengaku telah mencuri 33 juta nombor telefon dari raksasa mesej Amerika Syarikat, Twilio. Pada hari Selasa, Twilio mengesahkan kepada TechCrunch bahawa 'pelaku ancaman' berjaya mengenal pasti nombor telefon individu yang menggunakan Authy, sebuah aplikasi pengesahan dua faktor yang popular yang dimiliki oleh Twilio.
Dalam satu pos di forum penjenayah yang terkenal, penjenayah yang dikenali sebagai ShinyHunters menulis bahawa mereka telah meretas Twilio dan mendapatkan nombor telefon bimbit 33 juta pengguna.
Juru bicara Twilio, Kari Ramirez memberitahu TechCrunch bahawa syarikat 'telah mengesan bahawa pelaku ancaman berjaya mengenal pasti data yang berkaitan dengan akaun Authy, termasuk nombor telefon, disebabkan oleh titik akhir tanpa pengesahan. Kami telah mengambil tindakan untuk mengamankan titik akhir ini dan tidak lagi membenarkan permintaan tanpa pengesahan.'
'Kami tidak melihat bukti yang menunjukkan bahawa pelaku ancaman mendapatkan akses kepada sistem Twilio atau data sensitif lain. Sebagai langkah berjaga-jaga, kami meminta semua pengguna Authy untuk mengemaskini aplikasi Android dan iOS terbaru untuk kemas kini keselamatan terkini dan menggalakkan semua pengguna Authy untuk kekal berhati-hati dan berwaspada terhadap serangan phishing dan smishing,' tulis Ramirez dalam sebuah emel.
Twilio juga menerbitkan amaran di laman web rasmi mereka pada hari Isnin, termasuk kenyataan yang sama.
Untuk mendapatkan senarai nombor telefon - semata-mata - mungkin tidak kelihatan sebagai satu kebocoran data yang paling berbahaya, tetapi ia masih boleh membahayakan pemilik nombor-nombor itu.
'Jika penjenayah dapat mengemukakan senarai nombor telefon pengguna, maka penjenayah itu boleh berpura-pura menjadi Authy/Twilio kepada pengguna-pengguna itu, meningkatkan keboleh-percayaan dalam suatu serangan phishing ke nombor telefon tersebut,' Rachel Tobac, seorang pakar dalam kejuruteraan sosial dan CEO SocialProof Security, memberitahu TechCrunch.
Tobac menjelaskan bahawa sekarang penjenayah boleh secara khusus mengejar individu yang mereka tahu adalah pengguna Authy, memberikan peluang kepada penjenayah untuk membuat ia kelihatan seperti mesej berbahaya mereka benar-benar datang dari Authy dan Twilio.
Pada tahun 2022, Twilio mengalami satu lagi kebocoran data yang lebih besar, di mana sekumpulan penjenayah mendapatkan akses kepada data lebih daripada 100 pelanggan syarikat. Penjenayah itu kemudian melancarkan kempen phishing yang meluas yang menghasilkan pencurian kira-kira 10,000 kelayakan pekerja dari sekurang-kurangnya 130 syarikat. Sebagai sebahagian daripada kebocoran itu ketika itu, Twilio berkata penjenayah dengan berjaya menyerang 93 pengguna individu Authy dan berjaya mendaftarkan peranti tambahan pada akaun Authy mangsa itu, membolehkan mereka mencuri kod dua faktor sebenar secara efektif.
KEMASKINI, 12:52 tengah hari ET: Cerita ini telah diperbetulkan untuk menjelaskan bahawa kebocoran Twilio tahun 2022 tidak terus berkaitan dengan kempen phishing yang menghasilkan pencurian kira-kira 10,000 kelayakan pekerja beberapa syarikat. Dua serangan itu didakwa dijalankan oleh pelaku ancaman yang sama.