本文来自微信公众号“嘶吼专业版”,作者/胡金鱼。
Authy是一款移动应用程序,可在启用MFA的网站上生成多因素身份验证码。
6月底,一个名为ShinyHunters的威胁分子泄露了一个CSV文本文件,其中包含他们声称的在Authy服务上注册的3300万个电话号码。
Twilio已确认,不安全的API端点允许威胁分子验证数百万Authy多因素身份验证用户的电话号码,而这使他们很容易就受到短信网络钓鱼和SIM卡交换攻击。
ShinyHunters在黑客论坛上分享Twilio Authy数据
该CSV文件包含33,420,546行,每行包含一个帐户ID、电话号码、一个“over_the_top”列、帐户状态和设备数量。
Twilio现已证实,威胁分子使用未经身份验证的API端点编制了电话号码列表。Twilio检测到威胁分子能够通过未经身份验证的端点识别,与Authy帐户相关的数据,包括电话号码。
Twilio接受媒体采访时表示“没有看到任何证据表明威胁分子获得了Twilio系统或其他敏感数据的访问权限。作为预防措施,我们要求所有Authy用户更新到最新的Android和iOS应用程序以获取最新的安全更新,并鼓励所有Authy用户保持警惕并提高对网络钓鱼和短信钓鱼攻击的认识。”
早在2022年,Twilio就披露其在6月和8月遭受了入侵,威胁分子得以入侵其基础设施并访问Authy客户信息。
滥用不安全的API
据获悉,这些数据是通过将大量电话号码列表输入不安全的API端点汇编而成的。如果号码有效,端点将返回有关在Authy注册的关联帐户的信息。
现在该API已经得到保护,它不再被滥用来验证电话号码是否与Authy一起使用。
这种技术类似于威胁分子滥用不安全的Twitter API和Facebook API来编译包含公开和非公开信息的数千万用户的个人资料。
虽然Authy抓取的数据仅包含电话号码,但对于想要通过短信网络钓鱼和SIM卡交换攻击来窃取账户的用户来说,它们仍然是有利的。
ShinyHunters在他们的帖子中提到了这一点,并表示“你们可以在gemini或Nexo db上加入”,建议威胁分子将电话号码列表与所谓的Gemini和Nexo数据泄露中泄露的电话号码列表进行比较。
如果发现匹配,威胁分子可能会尝试执行SIM卡交换攻击或网络钓鱼攻击来破坏加密货币交易账户并窃取所有资产。
Twilio现已发布新的安全更新,并建议用户升级到包含安全更新的Authy Android(v25.1.0)和iOS App(v26.1.0)。目前尚不清楚此安全更新如何帮助保护用户免受威胁者利用抓取的数据进行攻击。
Authy用户还应确保其移动帐户配置为在未提供密码或关闭安全保护的情况下阻止号码转移。此外,Authy用户应警惕潜在的短信网络钓鱼攻击,这些攻击试图窃取更敏感的数据,例如密码。
在一次看似无关的泄露事件中,Twilio也开始发送数据泄露通知,因为第三方供应商不安全的AWS S3存储桶暴露了通过该公司发送短信的相关数据。
