Le fournisseur de communications cloud Twilio a révélé que des acteurs de menaces non identifiés ont profité d’un point de terminaison non authentifié dans Authy pour identifier les données associées aux comptes Authy, y compris les numéros de téléphone portable des utilisateurs.
La société a déclaré avoir pris des mesures pour sécuriser le point de terminaison afin de ne plus accepter les demandes non authentifiées.
Cette évolution survient quelques jours après qu’un personnage en ligne nommé ShinyHunters a publié sur BreachForums une base de données comprenant 33 millions de numéros de téléphone prétendument extraits de comptes Authy.
Authy, propriété de Twilio depuis 2015, est une application d’authentification à deux facteurs (2FA) populaire qui ajoute une couche supplémentaire de sécurité de compte.
« Nous n’avons vu aucune preuve que les acteurs de la menace aient obtenu l’accès aux systèmes de Twilio ou à d’autres données sensibles », a-t-il déclaré dans une alerte de sécurité du 1er juillet 2024.
Mais par mesure de précaution, il est recommandé aux utilisateurs de mettre à niveau leur Android (version 25.1.0 ou ultérieure) et iOS (version 26.1.0 ou ultérieure) applications vers la dernière version.
Il a également averti que les acteurs malveillants pourraient tenter d’utiliser le numéro de téléphone associé aux comptes Authy pour des attaques de phishing et de smishing.
« Nous encourageons tous les utilisateurs d’Authy à rester diligents et à être plus attentifs aux textes qu’ils reçoivent », a-t-il noté.