A Twilio, uma reconhecida empresa de comunicação em cloud, confirmou a invasão de um hacker não autorizado, que conseguiu acessar o número de telefone dos usuários do renomado aplicativo de verificação em dois fatores, Authy.
O ataque expôs dados de aproximadamente 33 milhões de pessoas.
O ataque foi creditado ao cibercriminoso ou, possivelmente, grupo de hackers conhecido como ShinyHunters.
Recentemente, anunciaram em fóruns da especialidade que tinham conseguido acessar os números de telefone, mas somente agora a Twilio veio a público reconhecer a falha explorada.
Para quem deseja saber mais sobre apps autenticadores, como Google Authenticator, Microsoft Authenticator, entre outros, é importante mencionar que os dados obtidos pelo invasor não abrangem outras informações pessoais dos usuários.
Portanto, a princípio, esses dados por si não têm o potencial de comprometer contas protegidas por autenticação de dois fatores.
Contudo, possuir os números de telefone eleva o risco de ataques mais sofisticados, como o phishing e, mais especificamente, o spear phishing, onde o criminoso, munido dessa informação, pode se passar por um representante do Authy para enganar suas vítimas.
Segundo a Twilio, "foi detectado que os agentes tiveram acesso a dados associados às contas do Authy, incluindo números de telefone, por meio de uma interface sem autenticação adequada.
Medidas foram imediatamente tomadas para salvaguardar este canal de comunicação e impedir novas requisições não autenticadas", conforme informou em uma nota oficial no site do aplicativo.
Até o presente momento, a Twilio não detalhou qual falha de segurança foi especificamente explorada, embora enfatize que seus sistemas continuam seguros.
A recomendação atual para usuários do Authy, tanto em Android quanto em iOS, é atualizar o app para a sua versão mais recente em seus dispositivos móveis, seja em tablets ou smartphones.
Esse incidente marca o segundo ataque cibernético significativo sofrido pela empresa nos últimos dois anos.
Em 2022, um ataque mais grave possibilitou o acesso às credenciais de clientes corporativos, com algumas contas sendo efetivamente violadas.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...