Kullanıcıların bir uygulamaya giriş yaparken iki faktörlü kimlik doğrulaması (2FA) talebinde bulunmalarını kolaylaştırmak için tasarlanan Twilio’nun hem iOS hem de Android için Authy uygulaması, ironik bir şekilde saldırıya uğradı ve bunun sonucunda müşterilerin akıllı telefon numaraları çalındı. Bir blog yazısında, Authy, “Twilio, tehdit aktörlerinin kimliği doğrulanmamış bir uç nokta sayesinde telefon numaraları da dahil olmak üzere Authy hesaplarıyla ilişkili verileri tespit edebildiğini tespit etti. Bu uç noktayı güvence altına almak ve kimliği doğrulanmamış isteklere artık izin vermemek için harekete geçtik.” diye yazdı.
İki faktörlü kimlik doğrulama (2FA), bir uygulamada oturum açarken ikinci bir koruma katmanının kullanılmasını gerektirir. Örneğin, bir uygulamada oturum açtıktan sonra telefonunuza uygulamayı açmak için yazmanız gereken bir kod içeren bir SMS alırsınız. Bu, bir saldırganın uygulamalarınızdan birini açmasını ve hesabınıza girmesini, parolanızı değiştirmesini ve sizi soymasını önler. Twilio, şu anda saldırıda çalınan müşteri verilerinin telefon numaralarıyla sınırlı olduğunu söylüyor.
Authy’de hesap açarken telefon numaranızı göndermeniz gerekiyor
Twilio, başarılı hack’in “kimliği doğrulanmamış uç noktaların” kullanımını suçladı ve bu uç noktayı güvence altına almak için harekete geçtiğini ve “kimliği doğrulanmamış isteklere artık izin vermediğini” belirtti. Bir medya raporu, çalınan telefon numaralarının sayısını 33 milyon olarak gösteriyor. ShinyHunters olarak bilinen hacker’lar, iyi bilinen bir hack forumunda Twilio’yu hacklediklerini ve 33 milyon cep telefonu numarası çaldıklarını itiraf etti.
Telefon numaralarının çalınması Authy kullanıcılarını korkutmamalı ancak saldırganlar bu numaraları kullanarak mağdur Authy abonelerini arayabilir veya mesaj atabilir. Saldırganlar daha sonra Authy’denmiş gibi davranabilir ve sosyal güvenlik numaraları, banka hesap numaraları ve diğer hassas kişisel veriler gibi diğer kullanıcı bilgilerini isteyebilir. Twilio veya Authy’den geldiği iddia edilen bir arama veya mesaj aldığınızda dikkatli olun ve arayan veya mesaj ne kadar ısrarcı olursa olsun hiçbir kişisel veriyi ifşa etmeyin.
Ve bu hack’in 2FA’nın kişisel verilerinizi korumak için çalışıp çalışmadığıyla hiçbir ilgisi yok. 2FA’yı caydırıcı olarak seviyorsanız, Authy saldırıya uğradığı için kullanmayı bırakmayın.