A Twilio confirmou que um endpoint de API não segurado permitiu que atores de ameaça verificassem os números de telefone de milhões de usuários do Authy, um aplicativo de autenticação multifator (MFA), tornando-os potencialmente vulneráveis a ataques de phishing via SMS e SIM swapping.
O Authy é um aplicativo móvel que gera códigos de autenticação multifator em sites nos quais você tem MFA habilitado.
No final de junho, um ator de ameaça chamado ShinyHunters vazou um arquivo de texto CSV contendo o que eles afirmam ser 33 milhões de números de telefone registrados com o serviço Authy.
O arquivo CSV contém 33.420.546 linhas, cada uma contendo um ID de conta, número de telefone, uma coluna "over_the_top", status da conta e contagem de dispositivos.
A Twilio confirmou que os atores de ameaças compilaram a lista de números de telefone usando um endpoint de API não autenticado.
"A Twilio detectou que atores de ameaças foram capazes de identificar dados associados às contas do Authy, incluindo números de telefone, devido a um endpoint não autenticado.
Tomamos medidas para proteger este endpoint e não permitimos mais solicitações não autenticadas", disse a Twilio.
Não vimos evidências de que os atores de ameaças obtiveram acesso aos sistemas da Twilio ou a outros dados sensíveis.
Como precaução, estamos solicitando que todos os usuários do Authy atualizem para os aplicativos Android e iOS mais recentes para as últimas atualizações de segurança e encorajamos todos os usuários do Authy a permanecerem vigilantes e terem uma conscientização aumentada sobre ataques de phishing e smishing.
Em 2022, a Twilio divulgou que sofreu violações em junho e agosto que permitiram que atores de ameaças invadissem sua infraestrutura e acessassem informações de clientes do Authy.
Se o número fosse válido, o endpoint retornaria informações sobre as contas associadas registradas no Authy.
Agora que a API foi protegida, ela não pode mais ser abusada para verificar se um número de telefone é usado com o Authy.
Esta técnica é semelhante a como atores de ameaças abusaram de uma API não segura do Twitter e Facebook para compilar perfis de dezenas de milhões de usuários que contêm informações públicas e não públicas.
Embora o scrape do Authy tenha contido apenas números de telefone, eles ainda podem ser vantajosos para usuários que procuram realizar smishing e ataques de SIM swapping para violar contas.
ShinyHunters aludem a isso em sua postagem, afirmando: "Vocês podem juntar-se a isso no gemini ou Nexo db", sugerindo que atores de ameaças comparem a lista de números de telefone com aqueles vazados em supostas violações de dados do Gemini e Nexo.
Se forem encontradas correspondências, os atores de ameaças poderiam tentar realizar ataques de SIM swapping ou phishing para violar as contas de exchange de criptomoedas e roubar todos os ativos.
A Twilio agora lançou uma nova atualização de segurança e recomenda que os usuários façam upgrade para o Authy Android (v25.1.0) e iOS App (v26.1.0), que inclui atualizações de segurança.
Não está claro como esta atualização de segurança ajuda a proteger os usuários de atores de ameaças que usam os dados raspados em ataques.
Os usuários do Authy também devem garantir que suas contas móveis estejam configuradas para bloquear transferências de número sem fornecer um código de acesso ou desativar proteções de segurança.
Além disso, os usuários do Authy devem estar atentos a possíveis ataques de phishing via SMS que tentem roubar dados mais sensíveis, como senhas.
Em um caso aparentemente não relacionado, a Twilio também começou a enviar notificações de violação de dados após um bucket do AWS S3 não seguro de um fornecedor terceirizado expor dados relacionados a SMS enviados pela empresa.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...