Hacker nutzten eine Schwachstelle in Authy aus und erbeuteten die Telefonnummern von Millionen Nutzern. und Twilio empfiehlt dringende App-Updates
Bei einem kürzlichen Sicherheitsverstoß haben Hacker erfolgreich eine Schwachstelle in Authy, dem Zwei-Faktor-Authentifizierungsdienst von Twilio, ausgenutzt, um die Telefonnummern von Millionen von Benutzern zu sammeln. Das Unternehmen bestätigte den Vorfall in einer Erklärung vom vergangenen Montag (1), nachdem es festgestellt hatte, dass der Angreifer über einen nicht authentifizierten Endpunkt auf Daten zu Authys Konto zugegriffen hatte.
Twilio berichtet, dass es den Fehler identifiziert und Maßnahmen ergriffen hat, um die Verarbeitung neuer, nicht authentifizierter Anfragen zu verhindern. In seiner Mitteilung forderte das Unternehmen alle Nutzer auf, die Service-App auf die neueste verfügbare Version für Android und iOS zu aktualisieren, die wichtige Sicherheitsupdates enthält.
Schwachstellen in Authy
Diese Schwachstelle ermöglichte es Hackern, die mit einem Authy-Konto verknüpfte Telefonnummer abzufragen, ohne dass eine Authentifizierung erforderlich war. Dadurch konnten 33 Millionen Telefonnummern der Benutzer des Dienstes erfasst werden.
Twillo bestätigte zwar die Ausnutzung der Sicherheitslücke durch Hacker, berichtete jedoch, dass „es keine Beweise dafür gibt, dass Agenten Zugriff auf Twilio-Systeme oder andere vertrauliche Daten erhalten haben“.
Auch wenn Authys Konto nicht direkt kompromittiert wurde, könnte die vom Hacker erhaltene Telefonnummer für einen Hackerangriff verwendet worden sein. Betrug und Smishing – was die Aufmerksamkeit des Benutzers erfordert.
Bei diesem Angriff werden gefälschte Textnachrichten verschickt, die als offizielle Mitteilungen von Authy oder Twilio getarnt werden, mit dem Ziel, Benutzer dazu zu verleiten, an persönliche Informationen oder Zugangsdaten zu gelangen.
„Wir wissen, dass die Sicherheit unserer Systeme ein wichtiger Faktor ist, um Ihr Vertrauen zu gewinnen und zu behalten. „Wir entschuldigen uns aufrichtig für diesen Vorfall“, sagte Twilio in einer offiziellen Erklärung.
Zusätzlich zur Aktualisierung der App empfiehlt Twilio den Benutzern, ihre Konten so zu konfigurieren, dass Nummernübertragungen ohne Angabe eines Passworts blockiert werden, und auf der Hut vor potenziellen SMS-Phishing-Angriffen zu bleiben, die versuchen, sensible Daten zu stehlen.
Siehe auch So schützen Sie sich vor Portabilitätsbetrug die von Kriminellen ausgenutzt werden kann, indem sie durchgesickerte Telefonnummern nutzen.
Trends bei Canaltech:
