Twilio hat bestätigt, dass ein ungesicherter API-Endpunkt es Bedrohungsakteuren ermöglicht hat, die Telefonnummern von Millionen von Authy-Nutzern mit Multi-Faktor-Authentifizierung zu verifizieren, wodurch diese möglicherweise für SMS-Phishing- und SIM-Swapping-Angriffe anfällig wurden.
Authy ist eine mobile App, die Codes für die Multi-Faktor-Authentifizierung auf Websites generiert, auf denen Sie MFA aktiviert haben.
Ende Juni ließ ein Bedrohungsakteur namens ShinyHunters eine CSV-Textdatei durchsickern, die angeblich 33 Millionen Telefonnummern enthält, die beim Authy-Dienst registriert sind.
Die CSV-Datei enthält 33.420.546 Zeilen, die jeweils eine Konto-ID, eine Telefonnummer, eine Spalte "over_the_top", den Kontostatus und die Anzahl der Geräte enthalten.
Twilio hat nun gegenüber BleepingComputer bestätigt, dass die Bedrohungsakteure die Liste der Telefonnummern mithilfe eines nicht authentifizierten API-Endpunkts zusammengestellt haben.
"Twilio hat festgestellt, dass Bedrohungsakteure aufgrund eines nicht authentifizierten Endpunkts in der Lage waren, Daten in Verbindung mit Authy-Konten, einschließlich Telefonnummern, zu identifizieren. Wir haben Maßnahmen ergriffen, um diesen Endpunkt zu sichern und lassen keine unauthentifizierten Anfragen mehr zu", erklärte Twilio gegenüber BleepingComputer.
"Wir haben keine Beweise dafür gesehen, dass die Bedrohungsakteure Zugang zu den Systemen von Twilio oder anderen sensiblen Daten erhalten haben. Als Vorsichtsmaßnahme fordern wir alle Authy-Benutzer auf, die neuesten Android- und iOS-Apps zu aktualisieren, um die neuesten Sicherheitsupdates zu erhalten, und ermutigen alle Authy-Benutzer, wachsam zu bleiben und ein erhöhtes Bewusstsein für Phishing- und Smishing-Angriffe zu haben."
Im Jahr 2022 gab Twilio bekannt, dass es im Juni und August zu Sicherheitsverletzungen kam, die es Bedrohungsakteuren ermöglichten, in die Infrastruktur des Unternehmens einzudringen und auf Authy-Kundendaten zuzugreifen.
Missbrauch von ungesicherten APIs
BleepingComputer hat erfahren, dass die Daten zusammengestellt wurden, indem eine umfangreiche Liste von Telefonnummern in den ungesicherten API-Endpunkt eingegeben wurde. Wenn die Nummer gültig war, gab der Endpunkt Informationen über die zugehörigen, bei Authy registrierten Konten zurück.
Da die API nun gesichert ist, kann sie nicht mehr missbraucht werden, um zu überprüfen, ob eine Telefonnummer mit Authy verwendet wird.
Diese Technik ähnelt der Art und Weise, wie Bedrohungsakteure eine ungesicherte Twitter-API und Facebook-API missbraucht haben, um Profile von zig Millionen Nutzern zu erstellen, die sowohl öffentliche als auch nicht-öffentliche Informationen enthalten.
Obwohl der Authy-Scrape nur Telefonnummern enthielt, können sie für Benutzer, die Smishing- und SIM-Swapping-Angriffe durchführen wollen, um in Konten einzudringen, immer noch von Vorteil sein.
ShinyHunters spielt in seinem Beitrag darauf an, indem sie sagen: "Ihr könnt bei Gemini oder Nexo db mitmachen", was darauf hindeutet, dass die Bedrohungsakteure die Liste der Telefonnummern mit denen vergleichen, die bei mutmaßlichen Gemini- und Nexo-Datenverletzungen durchgesickert sind.
Wenn Übereinstimmungen gefunden werden, könnten die Bedrohungsakteure versuchen, SIM-Swapping-Angriffe oder Phishing-Angriffe durchzuführen, um in die Kryptowährungskonten einzudringen und alle Vermögenswerte zu stehlen.
Twilio hat jetzt ein neues Sicherheitsupdate veröffentlicht und empfiehlt den Nutzern ein Upgrade auf Authy Android (v25.1.0) und iOS App (v26.1.0), die Sicherheitsupdates enthalten. Es ist unklar, wie dieses Sicherheitsupdate dazu beiträgt, Nutzer vor Bedrohungsakteuren zu schützen, die die gescrapten Daten für Angriffe verwenden.
Authy-Benutzer sollten außerdem sicherstellen, dass ihre mobilen Konten so konfiguriert sind, dass sie Nummernübertragungen ohne Angabe eines Passcodes blockieren oder den Sicherheitsschutz deaktivieren.
Darüber hinaus sollten Authy-Benutzer auf mögliche SMS-Phishing-Angriffe achten, mit denen versucht wird, sensiblere Daten, wie z. B. Passwörter, zu stehlen.
Twilio hat ebenfalls damit begonnen, Benachrichtigungen über Datenschutzverletzungen zu versenden, nachdem ein ungesicherter AWS S3-Bucket eines Drittanbieters SMS-bezogene Daten, die über das Unternehmen gesendet wurden, offengelegt hat, was offenbar nicht mit der Sicherheitsverletzung zusammenhängt.
