.
O aplicativo Authy da Twilio para iOS e Android, projetado para facilitar a solicitação de autenticação de dois fatores (2FA) pelos usuários ao fazer login em um aplicativo, ironicamente foi hackeado, resultando no roubo de números de smartphones de clientes. Em uma postagem de blog, a Authy escreveu: “A Twilio detectou que os agentes de ameaças conseguiram identificar dados associados às contas da Authy, incluindo números de telefone, devido a um endpoint não autenticado. Tomamos medidas para proteger esse endpoint e não permitir mais solicitações não autenticadas.”
A autenticação de dois fatores (2FA) requer o uso de uma segunda camada de proteção ao entrar em um aplicativo. Por exemplo, após entrar em um aplicativo, você recebe um SMS no seu telefone contendo um código que você precisa digitar para abrir o aplicativo. Isso impede que um invasor abra um dos seus aplicativos e entre na sua conta, altere sua senha e roube você às cegas. No momento, a Twilio diz que os dados do cliente roubados no hack estavam limitados a números de telefone.
Você precisa enviar seu número de telefone ao abrir uma conta com Authy
A Twilio está culpando o uso de “endpoints não autenticados” pelo hack bem-sucedido e observa que tomou medidas para proteger esse endpoint e “não permite mais solicitações não autenticadas”. Um relatório da mídia coloca o número de números de telefone roubados em 33 milhões. Em um fórum de hacking bem conhecido, hackers conhecidos como ShinyHunters admitiram ter hackeado a Twilio e roubado 33 milhões de números de celular.
Embora o roubo de números de telefone não deva necessariamente assustar os usuários do Authy, os invasores podem usar esses números para ligar ou enviar mensagens de texto para os assinantes do Authy vitimados. Os invasores podem então fingir ser do Authy e buscar outras informações do usuário, incluindo números de previdência social, números de contas bancárias e outros dados pessoais confidenciais. Tenha cuidado ao receber uma chamada ou mensagem de texto que supostamente venha do Twilio ou do Authy e não revele nenhum dado pessoal, não importa o quão insistente seja o chamador ou a mensagem de texto.
E esse hack não tem nada a ver com se o 2FA funciona para proteger seus dados pessoais. Se você gosta do 2FA como um impedimento, não pare de usá-lo porque o Authy foi atacado.
.
