Η Twilio επιβεβαίωσε ότι ένα μη ασφαλές API endpoint επέτρεψε σε κυβερνοεγκληματίες να επαληθεύσουν τους αριθμούς τηλεφώνου εκατομμυρίων χρηστών του Authy MFA, καθιστώντας τους ευάλωτους σε επιθέσεις SMS phishing και SIM swapping.
Το Authy είναι μια εφαρμογή για κινητά που δημιουργεί κωδικούς ελέγχου ταυτότητας πολλαπλών παραγόντων για πρόσβαση σε sites.
Στα τέλη Ιουνίου, οι hackers ShinyHunters διέρρευσαν ένα αρχείο κειμένου CSV το οποίο, κατά τους ισχυρισμούς τους, περιείχε 33 εκατομμύρια τηλεφωνικούς αριθμούς καταχωρημένους στην υπηρεσία Authy. Το αρχείο CSV περιέχει 33.420.546 σειρές, καθεμία από τις οποίες περιέχει ένα account ID, έναν αριθμό τηλεφώνου, μια στήλη “over_the_top”, την κατάσταση λογαριασμού και τον αριθμό συσκευών.
Δείτε επίσης: Η πύλη υποστήριξης της Mercku στέλνει MetaMask phishing email
Η Twilio επιβεβαίωσε ότι οι επιτιθέμενοι δημιούργησαν τη λίστα των αριθμών χρησιμοποιώντας ένα μη επικυρωμένο API endpoint. Η Twilio έλαβε μέτρα για να ασφαλίσει αυτό το endpoint, απαγορεύοντας μη εξουσιοδοτημένα αιτήματα.
“Δεν έχουμε δει στοιχεία που να αποδεικνύουν ότι οι παράγοντες απειλής απέκτησαν πρόσβαση στα συστήματα της Twilio ή σε άλλα ευαίσθητα δεδομένα. Ως προφύλαξη, ζητάμε από όλους τους χρήστες του Authy να λάβουν τις πιο πρόσφατες ενημερώσεις στις εφαρμογές Android και iOS και ενθαρρύνουμε όλους τους χρήστες του Authy να παραμείνουν σε επαγρύπνηση για επιθέσεις phishing και smishing“.
Κατάχρηση μη ασφαλών API
Η BleepingComputer έμαθε ότι τα δεδομένα συγκεντρώθηκαν με την τροφοδοσία μιας τεράστιας λίστας αριθμών τηλεφώνου στο μη ασφαλές API endpoint. Εάν ο αριθμός ήταν έγκυρος, το endpoint θα επέστρεφε πληροφορίες σχετικά με τους συσχετισμένους λογαριασμούς που είναι εγγεγραμμένοι στο Authy.
Τώρα που το API έχει ασφαλιστεί, δεν είναι πλέον δυνατή η κατάχρησή του για την επαλήθευση αριθμών.
Δείτε επίσης: Νέα “military-themed” phishing εκστρατεία στοχεύει το Πακιστάν
Η Twilio κυκλοφόρησε μια νέα ενημέρωση ασφαλείας και συνιστά στους χρήστες να κάνουν αναβάθμιση σε Authy Android (v25.1.0) και iOS App (v26.1.0). Δεν είναι σαφές πώς αυτή η ενημέρωση ασφαλείας βοηθά στην προστασία των χρηστών από τους παράγοντες απειλών, που μπορούν να χρησιμοποιήσουν τα παραβιασμένα δεδομένα σε επιθέσεις.
Οι χρήστες του Authy θα πρέπει, επίσης, να διασφαλίζουν ότι τα mobile accounts τους έχουν διαμορφωθεί ώστε να αποκλείουν τις μεταφορές αριθμών χωρίς να παρέχουν κωδικό πρόσβασης ή να απενεργοποιούν τις προστασίες ασφαλείας.
Επιπλέον, οι χρήστες του Authy θα πρέπει να είναι σε επιφυλακή για πιθανές επιθέσεις phishing μέσω SMS. Η παραβίαση αυτή μπορεί να έχει σοβαρές συνέπειες για την ασφάλεια των χρηστών, καθώς οι επιτιθέμενοι θα μπορούσαν να αποκτήσουν πρόσβαση σε ευαίσθητους λογαριασμούς και δεδομένα. Οι χρήστες που βασίζονται σε SMS για την επαλήθευση ταυτότητας θα πρέπει να εξετάσουν την αλλαγή σε πιο ασφαλείς μεθόδους, όπως οι εφαρμογές επαλήθευσης ή οι φυσικές συσκευές ασφαλείας.
Δείτε επίσης: Quishing: Phishing emails με QR codes στοχεύουν Κινέζους
Όπως προείπαμε, η Twilio έχει ήδη λάβει μέτρα για να διορθώσει την ευπάθεια και να ενημερώσει τους χρήστες για την πιθανή απειλή. Ωστόσο, οι χρήστες θα πρέπει να παραμείνουν σε εγρήγορση για ύποπτες δραστηριότητες στους λογαριασμούς τους και να ενημερώσουν τα μέτρα ασφαλείας τους για να προστατευτούν από μελλοντικές επιθέσεις.
Πηγή: www.bleepingcomputer.com
