La protección no funcionó contra la pérdida de información personal de los clientes.
La empresa Twilio informó que atacantes desconocidos utilizaron una vulnerabilidad en un punto final no autenticado del servicio Authy para obtener datos relacionados con las cuentas de los usuarios. Como resultado del ataque, se comprometieron los números de teléfonos móviles de los usuarios.
Authy, que forma parte de Twilio desde 2015, es popular como aplicación para la autenticación de dos factores (2FA), añadiendo un nivel adicional de protección para las cuentas de los usuarios.
Twilio tomó medidas rápidas para asegurar el punto final vulnerable y bloquear las solicitudes no autenticadas. Sin embargo, a pesar de los pasos tomados, la amenaza sigue siendo relevante.
La información sobre la filtración apareció después de que el grupo ShinyHunters publicara en el foro BreachForums una base de datos que contenía 33 millones de números de teléfono, supuestamente extraídos de las cuentas de Authy.
El archivo CSV publicado contiene 33,420,546 filas, cada una con un identificador de cuenta, número de teléfono, columna "over_the_top", estado de la cuenta y la cantidad de dispositivos.
Los datos se compilaron enviando una lista enorme de números de teléfono a un punto final API no seguro. Si el número era válido, el punto final devolvía información sobre las cuentas asociadas registradas en Authy. Aunque los datos de Authy contenían solo números de teléfono, aún pueden ser utilizados en ataques de cambio de SIM (SIM Swapping), smishing y hackeo de cuentas.
Twilio destacó que no se han encontrado pruebas de que los atacantes hayan accedido a los sistemas de la empresa u otra información confidencial. Para prevenir posibles consecuencias del incidente, se recomienda a los usuarios actualizar sus aplicaciones a la última versión: para Android, la versión 25.1.0 y superior, y para iOS, la versión 26.1.0 y superior.
Los usuarios deben ser especialmente cautelosos con los mensajes que reciben y evitar hacer clic en enlaces sospechosos. Los usuarios de Authy también deben asegurarse de que sus cuentas móviles estén configuradas para bloquear transferencias de números sin proporcionar una contraseña o deshabilitar las medidas de seguridad.
Twilio ha sido atacada anteriormente. Recordemos que en junio la empresa enfrentó otro incidente de ciberseguridad realizado por el mismo atacante que en agosto accedió a la información de los clientes de Twilio.
El hacker que violó la seguridad de Twilio a principios de agosto llevó a cabo una campaña de phishing a gran escala contra 136 organizaciones, lo que ocasionó el hackeo de 9931 cuentas. La campaña fue llamada "0ktapus" porque el objetivo inicial de los ataques era obtener datos de identificación de Okta y códigos de autenticación de dos factores (2FA) de los usuarios de las organizaciones objetivo.