Peretas mengeksploitasi kerentanan di Authy, mengambil nomor telepon jutaan pengguna; dan Twilio merekomendasikan pembaruan aplikasi yang mendesak
Dalam pelanggaran keamanan baru-baru ini, peretas berhasil mengeksploitasi kerentanan di Authy, layanan otentikasi dua faktor milik Twilio, untuk mengumpulkan nomor telepon jutaan pengguna. Perusahaan mengkonfirmasi kejadian tersebut dalam sebuah pernyataan Senin (1) lalu, setelah mendeteksi bahwa penyerang mengakses data terkait akun Authy melalui titik akhir yang tidak diautentikasi.
Twilio melaporkan bahwa mereka mengidentifikasi kelemahan tersebut dan telah mengambil langkah-langkah untuk mencegah pemrosesan permintaan baru yang tidak diautentikasi. Dalam catatannya, perusahaan meminta semua pengguna untuk memperbarui aplikasi layanan ke versi terbaru yang tersedia untuk Android dan iOS, yang mencakup pembaruan keamanan penting.
Kerentanan di Authy
Kerentanan ini memungkinkan peretas untuk menanyakan, tanpa memerlukan autentikasi, nomor telepon yang terkait dengan akun Authy—yang memungkinkan pengumpulan 33 juta nomor ponsel dari pengguna layanan.
Saat mengkonfirmasi eksploitasi kelemahan keamanan oleh peretas, Twillo melaporkan bahwa “tidak ada bukti bahwa agen memperoleh akses ke sistem Twilio atau data rahasia lainnya.”
Meskipun akun Authy tidak disusupi secara langsung, nomor telepon yang diperoleh peretas dapat digunakan dalam serangan peretasan. pengelabuan dan smishing — yang memerlukan perhatian pengguna.
Serangan ini terdiri dari pengiriman pesan teks palsu yang menyamar sebagai komunikasi resmi dari Authy atau Twilio, dengan tujuan mengelabui pengguna agar mendapatkan informasi pribadi atau kredensial akses.
“Kami tahu bahwa keamanan sistem kami adalah bagian penting untuk mendapatkan dan menjaga kepercayaan Anda. Kami dengan tulus meminta maaf atas kejadian ini,” kata Twilio dalam keterangan resmi.
Selain memperbarui aplikasi, Twilio merekomendasikan agar pengguna mengonfigurasi akun mereka untuk memblokir transfer nomor tanpa memberikan kata sandi dan tetap waspada terhadap potensi serangan SMS phishing yang mencoba mencuri data sensitif.
Lihat juga Bagaimana melindungi diri Anda dari penipuan portabilitas yang dapat dimanfaatkan oleh penjahat dengan menggunakan nomor telepon yang bocor.
Tren di Canaltech:
