Geçtiğimiz hafta, bir hacker ABD mesajlaşma devi Twilio’dan 33 milyon telefon numarası çaldığını iddia etti. Salı günü Twilio, TechCrunch’a “tehdit aktörlerinin” Twilio’ya ait popüler iki faktörlü kimlik doğrulama uygulaması Authy’yi kullanan kişilerin telefon numaralarını tespit edebildiğini doğruladı.
Ünlü bir hacker forumunda yayınlanan yazıda, ShinyHunters lakaplı hacker ya da hacker’lar, Twilio’yu hackleyerek 33 milyon kullanıcının cep telefonu numaralarını ele geçirdiklerini yazdı.
Twilio sözcüsü Kari Ramirez, TechCrunch’a şirketin “tehdit aktörlerinin kimliği doğrulanmamış bir uç nokta sayesinde telefon numaraları da dahil olmak üzere Authy hesaplarıyla ilişkili verileri tespit edebildiğini tespit ettiğini” söyledi. Bu uç noktayı güvence altına almak ve kimliği doğrulanmamış isteklere artık izin vermemek için harekete geçtik.
Ramirez bir e-postada, “Tehdit aktörlerinin Twilio’nun sistemlerine veya diğer hassas verilere erişim sağladığına dair hiçbir kanıt görmedik. Önlem olarak, tüm Authy kullanıcılarından en son güvenlik güncellemeleri için en son Android ve iOS uygulamalarına güncelleme yapmalarını rica ediyoruz ve tüm Authy kullanıcılarını dikkatli olmaya ve kimlik avı ve smishing saldırıları konusunda daha fazla farkındalık sahibi olmaya teşvik ediyoruz” diye yazdı.
Twilio da bir uyarı yayınladı Pazartesi günü resmi internet sitesinden aynı açıklamayı yaptı.
Telefon numaralarının bir listesini elde etmek tek başına en tehlikeli veri ihlali gibi görünmese de, yine de bu numaraların sahipleri için bir tehdit oluşturabilir.
Sosyal mühendislik uzmanı ve SocialProof Security CEO’su Rachel Tobac, TechCrunch’a yaptığı açıklamada, “Eğer saldırganlar kullanıcıların telefon numaralarını içeren bir listeyi sıralayabilirlerse, bu saldırganlar o kullanıcılara Authy/Twilio gibi davranabilirler ve bu da o telefon numarasına yönelik bir kimlik avı saldırısının inandırıcılığını artırır” dedi.
Tobac, artık bilgisayar korsanlarının Authy kullanıcısı olduklarını bildikleri kişileri hedef alabildiklerini, bu sayede saldırganların kötü amaçlı mesajlarının gerçekten Authy ve Twilio’dan geliyormuş gibi görünmesini sağlama şansına sahip olduklarını açıkladı.
2022’de Twilio, bir grup hacker’ın 100’den fazla şirket müşterisinin verilerine erişmesiyle daha büyük bir veri ihlali yaşadı. Bu bilgilerle donanmış hacker’lar daha sonra en az 130 şirketten yaklaşık 10.000 çalışan kimlik bilgilerinin çalınmasıyla sonuçlanan geniş kapsamlı bir kimlik avı kampanyası başlattı. O sırada gerçekleşen bu ihlalin bir parçası olarak Twilio, hacker’ların 93 bireysel Authy kullanıcısını başarıyla hedef aldığını ve bu kurbanların Authy hesaplarına ek cihazlar kaydedebildiğini ve böylece gerçek iki faktörlü kodları etkili bir şekilde çalabildiklerini söyledi.