Authy — популярное приложение безопасности для управления кодами аутентификации для приложений и онлайн-сервисов. Коды аутентификации повышают безопасность входа в систему, поскольку их необходимо вводить на втором этапе аутентификации.
Краткая сводка
- Злоумышленник опубликовал в сети текстовый файл CSV, содержащий 33 миллиона телефонных номеров клиентов Authy 2FA.
- Список был получен через неправильно защищенную конечную точку API.
- Злоумышленник передал API большое количество телефонных номеров, чтобы узнать, какие из них зарегистрированы в системе Authy.
- Злоумышленники могут использовать телефонные номера в фишинговых атаках с помощью SMS или подмене SIM-карт.
- Twilio, материнская компания Authy, официально подтвердила подлинность данных и факт взлома.
Компания сообщила, что защитила конечную точку, использованную при атаке. Кроме того, в качестве меры предосторожности она выпустила обновление Authy для Android и iOS.
Что нужно предпринять пользователям Authy
Authy не позволяет пользователям проверить, утек ли в сеть их номер телефона. Прямой угрозы нет, так как злоумышленники не могут ничего сделать с одним только номером телефона.
Однако, возможны следующие виды атак:
- Атаки с помощью SMS, чтобы заставить пользователей поделиться кодами аутентификации или загрузить вредоносное ПО на свои устройства.
- Атаки с подменой SIM-карт, для которых требуется дополнительная личная информация. Они связаны с оператором сотовой связи жертвы.
Злоумышленники могут использовать онлайн-поиск или другие базы данных, чтобы связать номера телефонов с их владельцами.
На данный момент данные в Authy защищены. Однако это не первый подобный инцидент. Еще в 2022 году компания Twilio подтвердила, что пострадала от утечки данных.
Все это напоминает историю с LastPass, сервис управления паролями, который пострадал от серии взломов и проблем за последние пару лет.
Миграция с Authy на другой сервис
Миграция на другой сервис будет непростой, так как Authy не поддерживает экспорт данных. Существует обходной путь, который использует старую версию настольного приложения, но он может скоро перестать работать, поскольку Authy прекращает поддержку десктопной программы.
Единственный альтернативный вариант — вручную перенести данные. Для этого нужно выполнить следующие шаги:
- Войдите в службу, для которой генерируются коды в Authy.
- Отключите двухфакторную аутентификацию (2FA) в настройках.
- Снова включите 2FA, на этот раз с помощью нового приложения для аутентификации.
Повторите шаги для любой службы и удалите каждую из них после завершения миграции. Это делается долгим нажатием на элемент в Authy и выбором опции удаления.
В качестве альтернативы можно рассмотреть приложение с открытым исходным кодом Aegis 2FA Authenticator для Android или Bitwarden Authenticator для Android, Bitwarden Authenticator для iPhone.
Стоит ли отказываться от Authy
Стоит ли доверять службе, которая пострадала от нескольких нарушений в прошлом, или следует перейти на службу, которая не пострадала. Клиенты LastPass сталкивались с одним и тем же вопросом несколько раз в прошлом, и это тот же вопрос, который должны задать себе клиенты Authy.
Мигрировать или нет — решать вам. Процесс не самый удобный из-за отсутствия надлежащих вариантов экспорта.
А какие приложения-аутентификаторы используете вы?
Угрозы безопасности
• Обзор вирусной активности для Android в III квартале 2024 года – «Доктор Веб»
• Найдена критическая уязвимость в CUPS – пора обновить вашу Linux систему
• NOYB: Mozilla использует Firefox для отслеживания пользователей без их согласия
• Трояны для кражи данных научились обходить новую защиту Chrome – App-Bound Encryption
• Банковский троянец Octo2 для Android маскируется под NordVPN и Google Chrome
• Троянец Necro заразил более 11 миллионов Android-устройств через Google Play