Authy é alvo de roubo de dados
5 de Julho de 2024

A Twilio, uma reconhecida empresa de comunicação em cloud, confirmou a invasão de um hacker não autorizado, que conseguiu acessar o número de telefone dos usuários do renomado aplicativo de verificação em dois fatores, Authy.

O ataque expôs dados de aproximadamente 33 milhões de pessoas.

O ataque foi creditado ao cibercriminoso ou, possivelmente, grupo de hackers conhecido como ShinyHunters.

Recentemente, anunciaram em fóruns da especialidade que tinham conseguido acessar os números de telefone, mas somente agora a Twilio veio a público reconhecer a falha explorada.

Para quem deseja saber mais sobre apps autenticadores, como Google Authenticator, Microsoft Authenticator, entre outros, é importante mencionar que os dados obtidos pelo invasor não abrangem outras informações pessoais dos usuários.

Portanto, a princípio, esses dados por si não têm o potencial de comprometer contas protegidas por autenticação de dois fatores.

Contudo, possuir os números de telefone eleva o risco de ataques mais sofisticados, como o phishing e, mais especificamente, o spear phishing, onde o criminoso, munido dessa informação, pode se passar por um representante do Authy para enganar suas vítimas.

Segundo a Twilio, "foi detectado que os agentes tiveram acesso a dados associados às contas do Authy, incluindo números de telefone, por meio de uma interface sem autenticação adequada.

Medidas foram imediatamente tomadas para salvaguardar este canal de comunicação e impedir novas requisições não autenticadas", conforme informou em uma nota oficial no site do aplicativo.

Até o presente momento, a Twilio não detalhou qual falha de segurança foi especificamente explorada, embora enfatize que seus sistemas continuam seguros.

A recomendação atual para usuários do Authy, tanto em Android quanto em iOS, é atualizar o app para a sua versão mais recente em seus dispositivos móveis, seja em tablets ou smartphones.

Esse incidente marca o segundo ataque cibernético significativo sofrido pela empresa nos últimos dois anos.

Em 2022, um ataque mais grave possibilitou o acesso às credenciais de clientes corporativos, com algumas contas sendo efetivamente violadas.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...