„Twilio“ patvirtino, kad neapsaugotas API galutinis taškas leido grėsmės subjektams patikrinti milijonų „Authy“ kelių veiksnių autentifikavimo naudotojų telefono numerius, todėl jie gali būti pažeidžiami sugadinimų ir SIM keitimo atakų.
„Authy“ yra mobilioji programa, kuri generuoja kelių veiksnių autentifikavimo kodus svetainėse, kuriose įjungta MFA.
Birželio pabaigoje grėsmių veikėjas, vardu ShinyHunters, nutekino CSV tekstinį failą, kuriame, jų teigimu, yra 33 milijonai telefonų numerių, užregistruotų Authy tarnyboje.
CSV faile yra 33 420 546 eilutės, kurių kiekvienoje yra paskyros ID, telefono numeris, stulpelis „over_the_top“, paskyros būsena ir įrenginių skaičius.
„Twilio“ dabar patvirtino „BleepingComputer“, kad grėsmės veikėjai telefonų numerių sąrašą sudarė naudodami neautentifikuotą API galutinį tašką.
„Twilio” aptiko, kad grėsmės veikėjai galėjo identifikuoti duomenis, susijusius su „Authy” paskyromis, įskaitant telefono numerius, dėl neautentifikuoto galutinio taško. Mes ėmėmės veiksmų, kad apsaugotume šį galinį tašką ir nebeleistume neautentifikuotų užklausų”, – „BleepingComputer” sakė Twilio.
„Mes nematėme jokių įrodymų, kad grėsmės veikėjai gavo prieigą prie „Twilio“ sistemų ar kitų neskelbtinų duomenų. Atsargumo sumetimais visų „Authy“ naudotojų prašome atnaujinti į naujausias „Android“ ir „iOS“ programas, kad gautumėte naujausius saugos naujinimus, ir raginame visus „Authy“ naudotojus būkite darbštūs ir geriau žinokite apie sukčiavimo ir siaubo išpuolius.
Piktnaudžiavimas nesaugiomis API
„BleepingComputer“ sužinojo, kad duomenys buvo surinkti į neapsaugotą API galutinį tašką įvedus didžiulį telefonų numerių sąrašą. Jei numeris būtų galiojantis, galutinis taškas pateiktų informaciją apie susijusias paskyras, užregistruotas „Authy“.
Dabar, kai API apsaugota, ja nebegalima piktnaudžiauti tikrinant, ar telefono numeris naudojamas su „Authy“.
Ši technika yra panaši į tai, kaip grėsmės veikėjai piktnaudžiavo nesaugia Twitter API ir Facebook API, kad sudarytų dešimčių milijonų vartotojų profilius, kuriuose yra viešos ir neviešos informacijos.
Nors „Authy“ įraše buvo tik telefonų numeriai, jie vis tiek gali būti naudingi vartotojams, norintiems įvykdyti sugadinimo ir SIM keitimo atakas, siekiant pažeisti paskyras.
„ShinyHunters“ užsimena apie tai savo įraše, teigdama: „Jūs, vaikinai, galite prisijungti prie „gemini“ arba „Nexo db“, siūlydami grėsmių veikėjams palyginti telefonų numerių sąrašą su numeriais, nutekėjusiais per tariamus Gemini ir Nexo duomenų pažeidimus.
Jei randamos atitikties, grėsmės veikėjai gali bandyti atlikti SIM keitimo arba sukčiavimo atakas, kad pažeistų kriptovaliutų biržas ir pavogtų paskyroje esantį turtą.
„Twilio“ dabar išleido naują saugos naujinimą ir rekomenduoja vartotojams naujovinti į „Authy Android“ (v25.1.0) ir „iOS App“ (v26.1.0), įskaitant saugos naujinimus. Neaišku, kaip šis saugos naujinimas padeda apsaugoti vartotojus nuo nutrintų duomenų.
Authy vartotojai taip pat turėtų užtikrinti, kad jų mobiliosios paskyros būtų sukonfigūruotos taip, kad blokuotų numerių perkėlimą, nepateikdami slaptažodžio arba neišjungdami saugos priemonių.
Be to, „Authy“ naudotojai turėtų stebėti galimų SMS sukčiavimo atakų, kuriomis bandoma pavogti jautresnius duomenis, pvz., slaptažodžius.