Authy 2FA app leaked phone numbers that may be used for text phishing

Cointelegraph · 2024-07-03T20:02:00.000Z

Hackers gained access to the Authy Android app database and “were able to identify data associated with [accounts], including phone numbers,” according to a July 1 security alert post issued by the app’s developer, Twilio. The accounts themselves “are not compromised,” the post stated, implying that the attackers were not able to gain authentication credentials. However, the exposed phone numbers may be used for “phishing and smishing attacks” in the future. Because of this risk, Twilio encouraged Authy users to “stay diligent and have heightened awareness around the texts they are receiving.” Twilio security alert regarding Authy data breach. Source: Twilio Centralized exchange users often rely on Authy for two-factor authentication (2FA). It generates a code on the user’s device, which the exchange may ask for before it performs withdrawals, transfers, or other sensitive tasks. Exchanges Gemini and Crypto.com both use Authy as their default 2FA app, and Coinbase, Binance, and many other exchanges allow it as an option. Authy is sometimes compared to Google’s Authenticator app, which has a similar purpose and is a competitor to Authy. The attacker gained access through an “unauthenticated endpoint,” according to the post. The team has secured this endpoint, and the app no longer accepts unauthenticated requests going forward. It encouraged users to upgrade to the latest version of the app, which contains security improvements. Twilio claimed that users’ authenticator codes have not been compromised, so the attackers should not be able to access their exchange accounts. “We have seen no evidence that the threat actors obtained access to Twilio’s systems or other sensitive data,” the company stated. According to a report from Seeking Alpha, the hack was performed by the ShinyHunters cybercriminal group, which “leaked a text file that purportedly shows the 33M phone numbers registered with Authy.” In 2021, cybersecurity blog Restoreprivacy reported that this same criminal group was responsible for the AT&T data breach, which resulted in the data of 51 million customers being released online. Authenticator apps were developed to prevent SIM swap attacks, a type of social engineering scheme that involves convincing a phone company to transfer a user’s phone number to the attacker. Once the attacker gains control of the user’s phone account, they use it to receive the user’s 2FA codes without needing to physically possess the user’s phone. This type of attack is still prevalent today, as some users still receive 2FA codes through text messaging instead of through an app. On June 12, blockchain security firm SlowMist reported that millions of dollars were recently lost by OKX users due to SIM swap attacks. Magazine: Crypto-Sec: Phishing scammer targets Hedera users, address poisoner gets $70K

Hackeři získali přístup k databázi aplikací Authy Android a „byli schopni identifikovat data spojená s [účty], včetně telefonních čísel“, podle bezpečnostního upozornění z 1. července vydaného vývojářem aplikace Twilio.
Samotné účty „nejsou kompromitovány“, uvedl příspěvek, což naznačuje, že útočníci nebyli schopni získat autentizační údaje. Odhalená telefonní čísla však mohou být v budoucnu použita pro „phishingové a smishingové útoky“. Kvůli tomuto riziku vyzval Twilio uživatele Authy, aby „zůstali pilní a zvýšili povědomí o textech, které dostávají“.
Uživatelé centralizované burzy často spoléhají na Authy pro dvoufaktorovou autentizaci (2FA). Na zařízení uživatele vygeneruje kód, o který může burza požádat před provedením výběrů, převodů nebo jiných citlivých úkolů. Burzy Gemini a Crypto.com používají Authy jako svou výchozí aplikaci 2FA a Coinbase, Binance a mnoho dalších burz to umožňuje jako možnost.
Authy je někdy přirovnáván k aplikaci Google Authenticator, která má podobný účel a je konkurentem Authy.
Útočník získal přístup prostřednictvím „neověřeného koncového bodu“ podle příspěvku. Tým zajistil tento koncový bod a aplikace již nadále nepřijímá neověřené požadavky. Vyzval uživatele, aby upgradovali na nejnovější verzi aplikace, která obsahuje vylepšení zabezpečení.
Twilio tvrdilo, že ověřovací kódy uživatelů nebyly kompromitovány, takže útočníci by neměli mít přístup k jejich výměnným účtům. „Neviděli jsme žádný důkaz, že aktéři hrozby získali přístup k systémům Twilio nebo jiným citlivým datům,“ uvedla společnost.
Podle zprávy od Seeking Alpha byl hack proveden skupinou kyberzločinců ShinyHunters, která „unikla textový soubor, který údajně zobrazuje 33 milionů telefonních čísel registrovaných u Authy“. V roce 2021 blog o kybernetické bezpečnosti Restoreprivacy uvedl, že stejná zločinecká skupina byla zodpovědná za porušení dat AT&T, což vedlo k tomu, že data 51 milionů zákazníků byla zveřejněna online.
Aplikace Authenticator byly vyvinuty, aby zabránily útokům typu swap SIM, což je typ schématu sociálního inženýrství, které zahrnuje přesvědčení telefonní společnosti, aby útočníkovi převedla telefonní číslo uživatele. Jakmile útočník získá kontrolu nad uživatelským telefonním účtem, použije jej k přijetí uživatelských kódů 2FA, aniž by musel fyzicky vlastnit telefon uživatele.
Tento typ útoku je dnes stále převládající, protože někteří uživatelé stále dostávají kódy 2FA prostřednictvím textových zpráv namísto prostřednictvím aplikace. 12. června bezpečnostní firma SlowMist pro blockchain oznámila, že uživatelé OKX nedávno přišli o miliony dolarů kvůli útokům na výměnu SIM karet.
Magazín: Crypto-Sec: Phishingový podvodník se zaměřuje na uživatele Hedera, adresa otrava získává 70 tisíc dolarů

Z aplikace Authy 2FA unikla telefonní čísla, která mohou být použita k textovému phishingu

Prozkoumat více od tvůrce

Nejnovější zprávy