Η Twilio επιβεβαίωσε ότι ένα μη ασφαλές API endpoint επέτρεψε σε δράστες επιθέσεων να επαληθεύσουν τους αριθμούς τηλεφώνου εκατομμυρίων χρηστών του Authy multi-factor authentication, καθιστώντας τους ενδεχομένως ευάλωτους σε επιθέσεις SMS phishing και SIM swapping.
Το Authy είναι μια εφαρμογή για κινητά που δημιουργεί κωδικούς ελέγχου ταυτότητας πολλαπλών παραγόντων σε ιστότοπους όπου έχετε ενεργοποιήσει το MFA.
Στα τέλη Ιουνίου, ένας επιτιθέμενος με το όνομα ShinyHunters διέρρευσε ένα αρχείο κειμένου CSV που περιείχε, όπως ισχυρίζεται, 33 εκατομμύρια αριθμούς τηλεφώνων εγγεγραμμένους στην υπηρεσία Authy.
Το αρχείο CSV περιέχει 33.420.546 γραμμές, κάθε μία από τις οποίες περιέχει ένα αναγνωριστικό λογαριασμού, έναν αριθμό τηλεφώνου, μια στήλη "over_the_top", την κατάσταση λογαριασμού και τον αριθμό συσκευών.
Η Twilio επιβεβαίωσε τώρα στο BleepingComputer ότι η δράστης συγκέντρωσε τη λίστα των τηλεφωνικών αριθμών χρησιμοποιώντας ένα μη πιστοποιημένο API endpoint.
"Η Twilio εντόπισε ότι οι δράστες απειλών ήταν σε θέση να εντοπίσουν δεδομένα που σχετίζονται με λογαριασμούς Authy, συμπεριλαμβανομένων αριθμών τηλεφώνου, λόγω ενός μη πιστοποιημένου τελικού σημείου. Λάβαμε μέτρα για την ασφάλεια αυτού του τελικού σημείου και δεν επιτρέπουμε πλέον μη πιστοποιημένα αιτήματα", δήλωσε η Twilio στο BleepingComputer.
"Δεν έχουμε δει καμία απόδειξη ότι οι απειλητικοί φορείς απέκτησαν πρόσβαση στα συστήματα της Twilio ή σε άλλα ευαίσθητα δεδομένα. Για προληπτικούς λόγους, ζητάμε από όλους τους χρήστες του Authy να ενημερώσουν τις τελευταίες εφαρμογές Android και iOS για τις τελευταίες ενημερώσεις ασφαλείας και ενθαρρύνουμε όλους τους χρήστες του Authy να παραμείνουν επιμελείς και να έχουν αυξημένη ευαισθητοποίηση σχετικά με τις επιθέσεις phishing και smishing".
Το 2022, η Twilio αποκάλυψε ότι υπέστη παραβιάσεις τον Ιούνιο και τον Αύγουστο, οι οποίες επέτρεψαν σε φορείς απειλών να παραβιάσουν την υποδομή της και να αποκτήσουν πρόσβαση σε πληροφορίες πελατών της Authy.
Πηγή : Bleeping Computer
Εμφάνιση 1-6 από 6
Θέμα: Hackers έκαναν κατάχρηση του API για να επαληθεύσουν εκατομμύρια τηλεφωνικούς αριθμούς Authy MFA
-
04-07-24, 12:55 Hackers έκαναν κατάχρηση του API για να επαληθεύσουν εκατομμύρια τηλεφωνικούς αριθμούς Authy MFA #1
Haunted by your grace you know I'm falling
Administrator
- Εγγραφή
- 22-09-2003
- Μηνύματα
- 82.605
- Downloads
- 218
- Uploads
- 48
- Άρθρα
- 6
- Τύπος
- VDSL2
- Ταχύτητα
- 204800/20480
- ISP
- Wind
- Router
- Technicolor DGA4130
- SNR / Attn
- 6(dB) / 2.8(dB)
- Path Level
- Interleaved
-
04-07-24, 12:56 Απάντηση: Hackers έκαναν κατάχρηση του API για να επαληθεύσουν εκατομμύρια τηλεφωνικούς αριθμούς Authy MFA #2
Haunted by your grace you know I'm falling
Administrator
- Εγγραφή
- 22-09-2003
- Μηνύματα
- 82.605
- Downloads
- 218
- Uploads
- 48
- Άρθρα
- 6
- Τύπος
- VDSL2
- Ταχύτητα
- 204800/20480
- ISP
- Wind
- Router
- Technicolor DGA4130
- SNR / Attn
- 6(dB) / 2.8(dB)
- Path Level
- Interleaved
Κλείστε το ρμδι σας
We'll build a fortress to keep them out and in a world gone silent I'll be your sound and if they try to hurt you I'll tear them down I'm always with you now....
I forgot that I might see, so many Beautiful things
everything that has a beginning has an end
See the mirror in your eyes-see the truth behind your lies-your lies are haunting me See the reason in your eyes-giving answer to the why- your eyes are haunting me
-
04-07-24, 13:00 Απάντηση: Hackers έκαναν κατάχρηση του API για να επαληθεύσουν εκατομμύρια τηλεφωνικούς αριθμούς Authy MFA #3
Stockholm Syndrome & Lightning Strike
- Εγγραφή
- 27-05-2006
- Περιοχή
- Άγιοι Ανάργυροι
- Ηλικία
- 53
- Μηνύματα
- 20.257
- Downloads
- 21
- Uploads
- 1
- Τύπος
- Other / Άλλο
- Ταχύτητα
- 300/30,1g/1g,600/120,450/
- ISP
- CosFTTH-5G, Inalan,Vod5G
- DSLAM
- ΟΤΕ - Ν. ΦΙΛΑΔΕΛΦΕΙΑ
- Router
- UntangleVM on esxi
Το είχα πάρει μια φορά πριν πολλά χρόνια για να στέλνει το Traccar μου SMS... είχα βάλει και 10€ .. τώρα τα θυμήθηκα και ακόμα μέσα είναι!!!!!
There's no substitute for experience
CorollaClub
-
04-07-24, 13:21 Απάντηση: Hackers έκαναν κατάχρηση του API για να επαληθεύσουν εκατομμύρια τηλεφωνικούς αριθμούς Authy MFA #4
&^%#$@%$ Member
- Εγγραφή
- 06-07-2005
- Περιοχή
- Νέα Υόρκη
- Ηλικία
- 50
- Μηνύματα
- 12.241
- Downloads
- 6
- Uploads
- 2
- Τύπος
- Cable
- Ταχύτητα
- 600 Mbps down/20 Mbps up
- ISP
- Spectrum
Ποιο είναι το haveibeenpwned για κινητά είπαμε;
-
05-07-24, 12:17 Απάντηση: Hackers έκαναν κατάχρηση του API για να επαληθεύσουν εκατομμύρια τηλεφωνικούς αριθμούς Authy MFA #5
aDSLgr Devotee
- Εγγραφή
- 10-07-2006
- Μηνύματα
- 5.652
- Downloads
- 16
- Uploads
- 0
- Τύπος
- FTTH
- Ταχύτητα
- 300/30MBPS
- ISP
- Cosmote
- DSLAM
- ΟΤΕ - ΓΛΥΦΑΔΑ
- Router
- Speedport Plus 2
Προσπαθούν να μπουν σε ένα e-mail ή οτιδήποτε άλλο και μου έρχονται στο κινητό κάτι τέτοια. Εννοείται τα απορρίπτω.
'Ότι και κωδικούς να αλλάξω το ίδιο συμβαίνει
Τελευταία επεξεργασία από το μέλος thourios : 05-07-24 στις 12:22.
-
06-07-24, 10:48 Απάντηση: Hackers έκαναν κατάχρηση του API για να επαληθεύσουν εκατομμύρια τηλεφωνικούς αριθμούς Authy MFA #6
Haunted by your grace you know I'm falling
Administrator
- Εγγραφή
- 22-09-2003
- Μηνύματα
- 82.605
- Downloads
- 218
- Uploads
- 48
- Άρθρα
- 6
- Τύπος
- VDSL2
- Ταχύτητα
- 204800/20480
- ISP
- Wind
- Router
- Technicolor DGA4130
- SNR / Attn
- 6(dB) / 2.8(dB)
- Path Level
- Interleaved
Πέταξε το από 2FA, όπου το έχεις.
Αρχικό μήνυμα από thourios
We'll build a fortress to keep them out and in a world gone silent I'll be your sound and if they try to hurt you I'll tear them down I'm always with you now....
I forgot that I might see, so many Beautiful things
everything that has a beginning has an end
See the mirror in your eyes-see the truth behind your lies-your lies are haunting me See the reason in your eyes-giving answer to the why- your eyes are haunting me
Παράθεση
Bookmarks