Authy 黑客攻击导致攻击者获取了流行 2FA 安全应用程序 3300 万用户的电话号码,使他们面临网络钓鱼攻击的风险增加。
开发商 Twilio 已确认该漏洞,并要求客户采取两项预防措施……
双因素身份验证 (2FA) 意味着当您(或使用您的凭据的人)登录网站或服务时,系统还会要求您提供由应用程序生成的一次性密码。 Twilio 的 Authy 是 App Store 上最受欢迎的 2FA 应用程序之一。
上周,一名黑客声称获得了 3300 万 Authy 用户的电话号码,Twilio 现在也证实了这一点,但没有具体说明帐户数量。
Twilio 检测到,由于端点未经身份验证,威胁行为者能够识别与 Authy 帐户相关的数据,包括电话号码。
我们已采取措施保护此端点,不再允许未经身份验证的请求。我们没有看到任何证据表明威胁行为者获得了 Twilio 系统或其他敏感数据的访问权限。
开发者要求所有用户更新到最新版本,并警惕粗略的短信。
作为预防措施,我们要求所有 Authy 用户更新到最新的 Android 和 iOS 应用程序以获得最新的安全更新。虽然 Authy 帐户没有受到损害,但威胁行为者可能会尝试使用与 Authy 帐户关联的电话号码进行网络钓鱼和短信攻击;我们鼓励所有 Authy 用户保持勤奋,并提高对他们收到的短信的认识。
这里最大的风险是攻击者现在知道有关您的三件事:
- 你的电话号码
- 您使用 2FA
- 您专门使用 Authy
他们可以使用此信息创建看起来有说服力的文本,例如,来自您的一项服务的建议您的双因素身份验证存在问题,并要求您重置它。或者自称是 Twilio。
TechCrunch报道称,据信同一名黑客发起了一次网络钓鱼活动,导致多家不同公司的约 10,000 名员工登录信息被盗。
Evolve 数据泄露事件的幕后黑手还包括网络钓鱼攻击,这可能损害了 Wise 和其他金融科技公司客户的敏感个人信息。
这是近几周来我们第二次发现网络安全公司存在安全漏洞,此前许多科技巨头使用的身份验证服务中的带照片身份证件被曝光。 2FA 应用程序的开发者也是您不希望看到被黑客攻击的公司名单中的前几名。
照片由 Philipp Katzenberger 在 Unsplash 上拍摄
免责声明
部分内容(图片、文章)翻译/转载自国内外资讯/自媒体平台。文中内容不代表本站立场,如有侵权或其它,请联系 macmao.com@gmail.com,我们会第一时间配合删除。(转载请注明来源自:www.macmao.com)