Proponha uma correção, faça uma sugestão
Hackers descobrem vulnerabilidade no Authy do Twilio e roubam milhões de números de telefone
Se usa o Authy, atualize a sua aplicação o mais rápido possível. O Twilio, empresa de mensagens que possui o serviço de autenticação de dois fatores, confirmou que um grupo de hackers violou a sua API e adquiriram números de telefone de 33 milhões de utilizadores.
Authy do Twilio foi vítima de ataque
O Twilio é uma empresa americana que fornece ferramentas de comunicação para fazer e receber chamadas telefónicas, enviar e receber mensagens de texto e executar outras funcionalidades de comunicação através das suas APIs.
Esta quarta-feira, o Twilio publicou uma declaração no seu website a confirmar uma invasão.
O Twilio detetou que os hackers foram capazes de identificar dados associados a contas Authy, incluindo números de telefone, devido a um endpoint não autenticado. Tomámos medidas para proteger este endpoint e já não permitimos pedidos não autenticados.
Lê-se no comunicado.
A empresa acrescentou que não havia evidências de que os hackers acederam a sistemas ou dados confidenciais do Twilio. Mas atualizar para a versão mais recente das aplicações iOS e Android é fundamental, pois incluem novas atualizações de segurança.
De: Bloomberg
Hackers conseguiram roubar 33 milhões de números de telefone
O Twilio salientou que as contas Authy não foram comprometidas. No entanto, os hackers (e qualquer pessoa com quem eles compartilham os dados) podem "tentar usar o número de telefone associado às contas Authy para ataques de phishing e smishing".
Smishing é o equivalente a phishing mas em mensagens de texto. Por isso, se tiver uma conta Authy, tenha muito cuidado com quaisquer textos inesperados que pareçam vir de fontes fiáveis, especialmente do Authy ou Twilio.
Rachel Tobac, especialista em engenharia social e CEO da SocialProof Security, ilustrou ao TechCrunch o que isto pode significar.
Se os atacantes conseguirem enumerar uma lista de números de telefone dos utilizadores, podem fingir ser o Authy/Twilio para esses utilizadores, aumentando a credibilidade de um ataque de phishing.
Disse Tobac.
Encorajamos todos os utilizadores do Authy a manterem-se diligentes e a terem uma maior consciência dos textos que estão a receber.
Sublinhou o Twilio.
Leia também:
Imagem: Reuters
Loading ...
nao conhecia
a app em si é muito prática e pode ser usada tanto em smartphone quanto pc; porém eles há um par de meses a versão desktop atingiu o seu fim de via.
Agora com este ataque aqui noticiado, na app já avisam que o sistema passará por manutenção no sábado às 2AM.
O mais importante é que as contas nãop tenham ficado comprometidas!
Nem as aplicações 2FA fogem aos artistas, hoje em dia ser responsável pela segurança informática de uma média/ grande empresa deve ser um trabalho com muito stress pois cada dia que passa existe novos vectores de ataque.
Verdade. Mas continuo a confiar na robustez da encriptação usada pela app. Aqui o ataque foi doutra natureza, API. Houve roubo de contacto, não de contas ou quebra da encriptação!
Ao comparar as características de segurança, tanto o Authy como o Google Authenticator empregam métodos de encriptação robustos para proteger os tokens 2FA. No entanto, o Authy oferece uma camada adicional de segurança, permitindo aos utilizadores proteger a aplicação com um PIN ou bloqueio biométrico.
Por exemplo, se usares o Google Authenticator e perderes o teu smartphone é complicado recuperares os dados 2FA; eventualmente terias de fazer previamente backup usando algo do tipo TitaniumBackup mas fazeres o root ao Android primeiro!
Com o Authy não precisas nada disso. Podes autorizar quando queres a utilização de outros dispositvos e proteger com pw mestra, etc. É muito prático!
Boas, já para aí a um ano que o Google Autenticator faz o backup na tua conta Google, ao usares outro telemóvel vais buscar os dados e não perdes nada, mas sim essa funcionalidades extra como PIN e master password é interessante.
Quem usa Authy apenas quer distância da Google porque NUNCA foi conhecida por respeitar a nossa privacidade.
Até podem oferecer flores, agora deixar a Google armazenar as minhas palavras-chave? Cada um escolha.
+1
P.S.: como a Twilio matou a sua versão desktop (infelizmente), estou a considerar uma alternativa à altura. É aí que entra o OneAuth da ZoHo. Pese embora não seja opensource, parece ser o melhor candidato da análise que fiz! Outra alternativa poderá ser o Bitwarden Authenticator.