El proveedor de comunicaciones en la nube Twilio tiene reveló que actores de amenazas no identificados aprovecharon un punto final no autenticado en Authy para identificar datos asociados con las cuentas de Authy, incluidos los números de teléfono celular de los usuarios.
La compañía dijo que tomó medidas para proteger el punto final y dejar de aceptar solicitudes no autenticadas.
El desarrollo ocurre días después de que un personaje en línea llamado ShinyHunters publicara en BreachForums una base de datos que comprende 33 millones de números de teléfono supuestamente extraídos de cuentas de Authy.
Authy, propiedad de Twilio desde 2015, es una popular aplicación de autenticación de dos factores (2FA) que agrega una capa adicional de seguridad a la cuenta.
«No hemos visto evidencia de que los actores de amenazas hayan obtenido acceso a los sistemas de Twilio u otros datos confidenciales», dijo en una alerta de seguridad del 1 de julio de 2024.
Pero, por precaución, se recomienda que los usuarios actualicen sus Androide (versión 25.1.0 o posterior) y iOS (versión 26.1.0 o posterior) aplicaciones a la última versión.
También advirtió que los actores de amenazas podrían intentar utilizar el número de teléfono asociado con las cuentas de Authy para ataques de phishing y smishing.
«Alentamos a todos los usuarios de Authy a que sean diligentes y tengan mayor conciencia de los textos que reciben», señaló.