Хакеры украли миллионы телефонных номеров из сервиса Authy 2FA

2024-07-04 2682 комментарии
Злоумышленникам удалось украсть более 33 миллионов телефонных номеров, используемых пользователями сервиса двухфакторной аутентификации Authy 2FA

Authy — популярное приложение безопасности для управления кодами аутентификации для приложений и онлайн-сервисов. Коды аутентификации повышают безопасность входа в систему, поскольку их необходимо вводить на втором этапе аутентификации.

Краткая сводка

  • Злоумышленник опубликовал в сети текстовый файл CSV, содержащий 33 миллиона телефонных номеров клиентов Authy 2FA.
  • Список был получен через неправильно защищенную конечную точку API.
  • Злоумышленник передал API большое количество телефонных номеров, чтобы узнать, какие из них зарегистрированы в системе Authy.
  • Злоумышленники могут использовать телефонные номера в фишинговых атаках с помощью SMS или подмене SIM-карт.
  • Twilio, материнская компания Authy, официально подтвердила подлинность данных и факт взлома.

Компания сообщила, что защитила конечную точку, использованную при атаке. Кроме того, в качестве меры предосторожности она выпустила обновление Authy для Android и iOS.

Что нужно предпринять пользователям Authy

Authy не позволяет пользователям проверить, утек ли в сеть их номер телефона. Прямой угрозы нет, так как злоумышленники не могут ничего сделать с одним только номером телефона.

Однако, возможны следующие виды атак:

  • Атаки с помощью SMS, чтобы заставить пользователей поделиться кодами аутентификации или загрузить вредоносное ПО на свои устройства.
  • Атаки с подменой SIM-карт, для которых требуется дополнительная личная информация. Они связаны с оператором сотовой связи жертвы.

Злоумышленники могут использовать онлайн-поиск или другие базы данных, чтобы связать номера телефонов с их владельцами.

На данный момент данные в Authy защищены. Однако это не первый подобный инцидент. Еще в 2022 году компания Twilio подтвердила, что пострадала от утечки данных.

Все это напоминает историю с LastPass, сервис управления паролями, который пострадал от серии взломов и проблем за последние пару лет.

Миграция с Authy на другой сервис

Миграция на другой сервис будет непростой, так как Authy не поддерживает экспорт данных. Существует обходной путь, который использует старую версию настольного приложения, но он может скоро перестать работать, поскольку Authy прекращает поддержку десктопной программы.

Единственный альтернативный вариант — вручную перенести данные. Для этого нужно выполнить следующие шаги:

  • Войдите в службу, для которой генерируются коды в Authy.
  • Отключите двухфакторную аутентификацию (2FA) в настройках.
  • Снова включите 2FA, на этот раз с помощью нового приложения для аутентификации.

Повторите шаги для любой службы и удалите каждую из них после завершения миграции. Это делается долгим нажатием на элемент в Authy и выбором опции удаления.

В качестве альтернативы можно рассмотреть приложение с открытым исходным кодом Aegis 2FA Authenticator для Android или Bitwarden Authenticator для AndroidBitwarden Authenticator для iPhone.

Стоит ли отказываться от Authy

Стоит ли доверять службе, которая пострадала от нескольких нарушений в прошлом, или следует перейти на службу, которая не пострадала. Клиенты LastPass сталкивались с одним и тем же вопросом несколько раз в прошлом, и это тот же вопрос, который должны задать себе клиенты Authy.

Мигрировать или нет — решать вам. Процесс не самый удобный из-за отсутствия надлежащих вариантов экспорта.

А какие приложения-аутентификаторы используете вы?

© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте