Twilio 宣布其 Authy 应用程式发生重大安全漏洞,导致数百万个电话号码遭到曝光。Authy 是一款著名的
应用程式,于 2015 年被 Twilio 收购,提供额外的帐号安全保障。以下是 Authy 应用程式漏洞的更多资讯!
漏洞概述及 Twilio 的回应
根据 Twilio 的说法,威胁行为者能够访问 Authy 系统中的一个未经身份验证的端点,这使他们能够提取与用户帐号相关的信息,特别是电话号码。
几天前,一个名为 ShinyHunters 的骇客组织在
上分享了一个数据库,声称其中包含 3,300 万个 Authy 用户的电话号码。Twilio表示,已采取措施通过调整端点来拒绝未经身份验证的请求,以保障安全。
🚨重大数据泄露🚨ShinyHunters 据称泄露了 3,300 万个 Twilio Authy 随机电话号码
ShinyHunters 表示:“Twilio authy 和 segment 存在分段故障,我们借此攻击并扬眉吐气地获利
”— Dark Web Informer (@DarkWebInformer)
“我们未见任何证据显示威胁行为者获得了 Twilio 系统或其他敏感数据的访问权限。为了预防,我们要求所有 Authy 用户更新至最新的 Android 和
iOS 应用,以获得最新的安全更新,”该公司在 7 月 1 日发布的 中表示。
安全隐患与用户安全指导
尽管此次泄露仅涉及电话号码,但对安全的影响却相当重大。拥有这样的名单使攻击者能够更有效地冒充 Authy 或 Twilio与用户进行交流,从而可能导致成功的 诈骗行为。
Twilio 提醒用户保持警惕,因为威胁行为者可能会试图利用与 Authy 帐号相关的电话号码进行钓鱼和短信钓鱼攻击,并鼓励“所有 Authy用户保持警惕,对收到的短信增强警觉”。
这并不是 Twilio 第一次成为骇客的目标。2022 年,攻击者曾访问客户数据并发起网络钓鱼行动,泄露超过 130 家公司的数千名员工凭证。
在那次攻击中,入侵者还操控了 93 个 Authy 帐号,注册了额外设备,从而获得真实的双因素验证码,进而可能未经授权访问敏感帐号。
安斯·哈桑
2024年7月4日
4个月前
安斯·哈桑是一位科技爱好者和网络安全狂热者,在数位转型行业拥有丰富的经验。当安斯不在写博客时,他会观看足球比赛。
