Bulut iletişim sağlayıcısı Twilio açıklığa kavuşmuş Kimliği belirsiz tehdit aktörlerinin, Authy’deki kimliği doğrulanmamış bir uç noktadan yararlanarak kullanıcıların cep telefonu numaraları da dahil olmak üzere Authy hesaplarıyla ilişkili verileri tespit ettiği bildirildi.
Şirket, kimliği doğrulanmamış isteklerin artık kabul edilmemesi için uç noktanın güvenliğini sağlamak amacıyla adımlar attığını söyledi.
Gelişme, ShinyHunters isimli bir çevrimiçi kişiliğin, Authy hesaplarından çekildiği iddia edilen 33 milyon telefon numarasından oluşan bir veritabanını BreachForums’da yayınlamasından birkaç gün sonra geldi.
2015’ten beri Twilio’nun sahibi olduğu Authy, hesap güvenliğine ek bir katman ekleyen popüler bir iki faktörlü kimlik doğrulama (2FA) uygulamasıdır.
1 Temmuz 2024 tarihli bir güvenlik uyarısında “Tehdit aktörlerinin Twilio’nun sistemlerine veya diğer hassas verilerine erişim sağladığına dair bir kanıt görmedik” denildi.
Ancak aşırı tedbir amacıyla kullanıcılarına donanımlarını yükseltmelerini öneriyor. Android (sürüm 25.1.0 veya üzeri) ve iOS (sürüm 26.1.0 veya üzeri) uygulamaları en son sürüme güncelleyin.
Ayrıca tehdit aktörlerinin Authy hesaplarıyla ilişkili telefon numaralarını kimlik avı ve smishing saldırıları için kullanmaya çalışabileceği konusunda uyarıldı.
“Tüm Authy kullanıcılarını dikkatli olmaya ve aldıkları metinler konusunda daha fazla farkındalık sahibi olmaya teşvik ediyoruz” denildi.