详细内容或原文请订阅后点击阅览
Twilio:黑客获取了 3300 万个 Authy 用户号码
保护措施无法防止客户个人信息丢失。
来源:安全实验室新闻频道保护措施无法防止客户个人信息的丢失。
Twilio 报告称,未知攻击者利用未经身份验证的 Authy 服务端点中的漏洞来获取与用户帐户关联的数据。由于这次攻击,用户的手机号码遭到泄露。
报告Authy 自 2015 年起成为 Twilio 的一部分,作为双因素身份验证 (2FA) 应用程序而广受欢迎,为用户帐户添加了额外的安全层。
2FATwilio 立即采取措施,通过关闭受影响的端点并阻止未经身份验证的请求来确保安全。然而,尽管采取了措施,威胁仍然存在。
有关此次泄露的信息是在 ShinyHunters 组织在 BreachForums 上发布一个包含 3300 万个电话号码的数据库(据称是从 Authy 帐户中提取的)之后发布的。
闪亮猎人ShinyHunters 在黑客论坛上发布 Twilio Authy 数据
ShinyHunters 在黑客论坛上发布 Twilio Authy 数据已发布的 CSV 文件包含 33,420,546 行,每行包含帐户 ID、电话号码、over_the_top 列、帐户状态和设备数量。
数据是通过向不安全的 API 端点提供大量电话号码列表来编译的。如果该号码有效,端点将返回有关在 Authy 中注册的关联帐户的信息。尽管 Authy 的数据仅包含电话号码,但它仍然可以用于 SIM 交换、短信诈骗和帐户劫持攻击。
Android iOSTwilio 之前曾遭受过攻击。让我们回想一下,6 月,该公司面临另一起网络安全事件,该攻击者是 8 月访问 Twilio 客户端信息的同一攻击者。
六月 访问的客户信息