3,300万件の電話番号が流出、Authyユーザーに警戒を呼びかけ
Twilio は、ハッカーがユーザー データベースから 3,300 万件の電話番号を取得したと主張したことを受けて、Authy 2 要素認証 (2FA) サービスを更新しました。
TechCrunchの
報道によると、ShinyHuntersとして知られるハッカーが有名なハッキングフォーラムに参加し、Twilioが「認証されたエンドポイント」の使用と表現したものによって3,300万件の携帯電話番号が盗まれたことを自慢したという。
米国のメッセージング大手は今週、「脅威アクター」が同社サーバーにアクセスし、その結果ユーザーの電話番号が盗まれたことを認めたが、何件がアクセスされたかは明らかにしなかった。同社は、このエクスプロイトを保護し、今後同様の認証されていないリクエストが発生するのを防ぐための措置を講じたと述べた。
同社は ブログ投稿 で、「攻撃者がTwilioのシステムやその他の機密データにアクセスしたという証拠は確認されていない」と述べた。 「Authy アカウントは侵害されていませんが、攻撃者は Authy アカウントに関連付けられた電話番号をフィッシング攻撃やスミッシング攻撃に使用しようとする可能性があります。すべての Authy ユーザーが常に勤勉であり、受信しているテキストに対する意識を高めることをお勧めします。」
Twilio が指摘しているように、電話番号のリストを取得すること自体は、重大なセキュリティ上の脅威を引き起こすようには見えないかもしれません。ただし、攻撃者がユーザーに連絡し、Authy または Twilio の代表者であると主張して、フィッシング キャンペーンの一環として個人情報を暴露させる可能性があります。
ユーザーは、 App Store で入手可能な iOS アプリの最新バージョンに更新する必要があります。また、Twilio は、Authy アカウントにアクセスできないユーザーに対して、すぐにサポート チームに連絡するようアドバイスしています。
今年の初めに、Authy は Mac および Linux デスクトップ アプリを 2024 年 8 月に 終了する と発表しましたが、最終的にその日付を前倒しすることになりました。その後、アプリは 3 月に削除されました。
