Notícias

Hackers descobrem vulnerabilidade no Authy do Twilio e roubam milhões de números de telefone

8 Comentários

Se usa o Authy, atualize a sua aplicação o mais rápido possível. O Twilio, empresa de mensagens que possui o serviço de autenticação de dois fatores, confirmou que um grupo de hackers violou a sua API e adquiriram números de telefone de 33 milhões de utilizadores.


 

Authy do Twilio foi vítima de ataque

O Twilio é uma empresa americana que fornece ferramentas de comunicação para fazer e receber chamadas telefónicas, enviar e receber mensagens de texto e executar outras funcionalidades de comunicação através das suas APIs.

Esta quarta-feira, o Twilio publicou uma declaração no seu website a confirmar uma invasão.

O Twilio detetou que os hackers foram capazes de identificar dados associados a contas Authy, incluindo números de telefone, devido a um endpoint não autenticado. Tomámos medidas para proteger este endpoint e já não permitimos pedidos não autenticados.

Lê-se no comunicado.

A empresa acrescentou que não havia evidências de que os hackers acederam a sistemas ou dados confidenciais do Twilio. Mas atualizar para a versão mais recente das aplicações iOS e Android é fundamental, pois incluem novas atualizações de segurança.

De: Bloomberg

 

Hackers conseguiram roubar 33 milhões de números de telefone

O Twilio salientou que as contas Authy não foram comprometidas. No entanto, os hackers (e qualquer pessoa com quem eles compartilham os dados) podem “tentar usar o número de telefone associado às contas Authy para ataques de phishing e smishing”.

Smishing é o equivalente a phishing mas em mensagens de texto. Por isso, se tiver uma conta Authy, tenha muito cuidado com quaisquer textos inesperados que pareçam vir de fontes fiáveis, especialmente do Authy ou Twilio.

Rachel Tobac, especialista em engenharia social e CEO da SocialProof Security, ilustrou ao TechCrunch o que isto pode significar.

Se os atacantes conseguirem enumerar uma lista de números de telefone dos utilizadores, podem fingir ser o Authy/Twilio para esses utilizadores, aumentando a credibilidade de um ataque de phishing.

Disse Tobac.

Encorajamos todos os utilizadores do Authy a manterem-se diligentes e a terem uma maior consciência dos textos que estão a receber.

Sublinhou o Twilio.

 

Leia também:

4 sites para colocar em prática conhecimentos em hacking

 

PUB
Autor: Rui Neto
Partilhar:
Tags:
Authy hackers números Twilio

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Acidente insólito com a Cybertruck deixou a pickup da Tesla de rodas para o ar
Artigo anterior

Acidente insólito com a Cybertruck deixou a pickup da Tesla de rodas para o ar
Maior grupo parlamentar europeu quer rever a proibição dos motores de combustão
Próximo artigo

Maior grupo parlamentar europeu quer rever a proibição dos motores de combustão
PUB

Comentários

8

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Ohlamar Nebur
    Ohlamar Nebur

    nao conhecia

    Responder
    1. Avatar de Damnupa Kot
      Damnupa Kot

      a app em si é muito prática e pode ser usada tanto em smartphone quanto pc; porém eles há um par de meses a versão desktop atingiu o seu fim de via.
      Agora com este ataque aqui noticiado, na app já avisam que o sistema passará por manutenção no sábado às 2AM.
      O mais importante é que as contas nãop tenham ficado comprometidas!

      Responder
  2. Avatar de Rodrigo
    Rodrigo

    Nem as aplicações 2FA fogem aos artistas, hoje em dia ser responsável pela segurança informática de uma média/ grande empresa deve ser um trabalho com muito stress pois cada dia que passa existe novos vectores de ataque.

    Responder
    1. Avatar de Damnupa Kot
      Damnupa Kot

      Verdade. Mas continuo a confiar na robustez da encriptação usada pela app. Aqui o ataque foi doutra natureza, API. Houve roubo de contacto, não de contas ou quebra da encriptação!
      Ao comparar as características de segurança, tanto o Authy como o Google Authenticator empregam métodos de encriptação robustos para proteger os tokens 2FA. No entanto, o Authy oferece uma camada adicional de segurança, permitindo aos utilizadores proteger a aplicação com um PIN ou bloqueio biométrico.
      Por exemplo, se usares o Google Authenticator e perderes o teu smartphone é complicado recuperares os dados 2FA; eventualmente terias de fazer previamente backup usando algo do tipo TitaniumBackup mas fazeres o root ao Android primeiro!
      Com o Authy não precisas nada disso. Podes autorizar quando queres a utilização de outros dispositvos e proteger com pw mestra, etc. É muito prático!

      Responder
      1. Avatar de Rodrigo
        Rodrigo

        Boas, já para aí a um ano que o Google Autenticator faz o backup na tua conta Google, ao usares outro telemóvel vais buscar os dados e não perdes nada, mas sim essa funcionalidades extra como PIN e master password é interessante.

        Responder
        1. Avatar de WTV
          WTV

          Quem usa Authy apenas quer distância da Google porque NUNCA foi conhecida por respeitar a nossa privacidade.

          Até podem oferecer flores, agora deixar a Google armazenar as minhas palavras-chave? Cada um escolha.

          Responder
          1. Avatar de Damnupa Kot
            Damnupa Kot

            +1

  3. Avatar de Damnupa Kot
    Damnupa Kot

    P.S.: como a Twilio matou a sua versão desktop (infelizmente), estou a considerar uma alternativa à altura. É aí que entra o OneAuth da ZoHo. Pese embora não seja opensource, parece ser o melhor candidato da análise que fiz! Outra alternativa poderá ser o Bitwarden Authenticator.

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.