Un attacco hacker al servizio Authy ha fatto trapelare in rete ben 33 milioni di numeri di telefono degli utenti.
Authy è un’app che offre l’autenticazione a due fattori, consentendo agli utenti di mantenere sicuri i propri account online. Similmente alle password monouso, Authy genera codici 2FA che si aggiornano ogni 30 secondi e vengono archiviati sul cloud, impedendo agli utenti di perdere l’accesso ai propri codici nel caso in cui perdano il telefono.
L’app è gratuita e funziona su tutte le piattaforme, tra cui Android, iOS, macOS, Windows e Linux. L’unica macchia sulla sua reputazione è una violazione della sicurezza del 2022 che ha colpito la sua società madre, Twilio, che ha fatto trapelare informazioni su 75 milioni di utenti, sebbene siano stati presi di mira solo 93 utenti Authy. Ora, una nuova violazione della sicurezza che ha colpito l’app 2FA ha consentito agli autori delle minacce di accedere a 33 milioni di numeri di telefono registrati sull’app.
Authy è stata hackerata, ecco come proteggersi
Twilio ha rilasciato un aggiornamento per la sua app Android e iOS, insieme a un comunicato stampa il 1° luglio, suggerendo di aver “rilevato che gli autori delle minacce erano in grado di identificare i dati associati agli account Authy, inclusi i numeri di telefono, a causa di un endpoint non autenticato“. Gli aggiornamenti dell’app servivano come precauzione per gli utenti, consentendo loro di accedere agli ultimi aggiornamenti di sicurezza dell’app.
Il colpevole qui era un endpoint API non protetto che consentiva agli autori delle minacce di verificare e raccogliere numeri collegati ad Authy. Secondo quanto riferito, gli autori dell’attacco hacker sono stati in grado di fornire all’API non protetta un ampio elenco di numeri di telefono e l’endpoint ha restituito solo i numeri collegati ad Authy, insieme ad altre informazioni sull’account.
Secondo un rapporto di Bleeping Computer, un gruppo hacker chiamato ShinyHunters è stato collegato alla violazione poiché ha fatto trapelare un file contenente oltre 33 milioni di numeri di telefono collegati ad Authy, come suggerito nello screenshot qui sopra.
I dati trapelati includevano anche gli ID degli account, insieme ai dettagli sullo stato dell’account e su altri dispositivi collegati. Vale la pena notare che non è stata divulgata alcuna password, ma i numeri di telefono trapelati e le informazioni sui dispositivi collegati sono sufficienti per consentire ad altri autori di minacce di prendere di mira i clienti Authy con sofisticati attacchi di phishing via SMS.
Questo è probabilmente il miglior momento per passare a un’alternativa per la 2FA che sia più sicura, open source e soprattutto locale.
