根據網路安全公司慢霧（SlowMist）的資安長 23pds 在 X 平台上警告稱，雙因素驗證（2FA）服務 Authy 遭到駭客攻擊，3,300 萬名用戶的電話號碼已洩漏。官方開發商 Twilio 已確認相關漏洞。

23pds 表示，有很多加密貨幣從業人員使用 Authy，他提醒這款 2FA 軟體的用戶警惕網路釣魚攻擊。

來源： 23pds

根據外媒《TechCrunch》報導，知名駭客集團 ShinyHunters 上週在知名駭客論壇上宣稱他們駭入 Twilio 並竊取了 3,300 萬個電話號碼。Twilio 發言人 Kari Ramirez 週二（2日）向 TechCrunch 證實，該公司「已檢測到威脅行為者能夠識別 Authy 帳戶相關的數據，包括電話號碼，這是由於一個未經身分驗證的端點」。Twilio 稱已採取行動確保該端點的安全，不再允許未經身份驗證的請求。

Ramirez 表示：

「我們沒有看到任何證據表明威脅行為者已獲得對 Twilio 系統或其他敏感數據的存取權。作為預防措施，我們要求所有 Authy 用戶更新到最新版的 Android 和 iOS 應用程式，以獲得最新的安全更新，並鼓勵所有 Authy 用戶保持警惕，提高對網路釣魚和「簡訊網路釣魚」（smishing）攻擊的防範意識。」

社會工程學專家、SocialProof Security 的執行長 Rachel Tobac 受訪表示，如果攻擊者能夠列舉出用戶的電話號碼清單，那麼這些攻擊者就可以對那些用戶冒充成 Authy/Twilio，從而增加針對這些電話號碼的網路釣魚攻擊的可信度。

相關文章：《旅客成為攻擊目標，以 AI 製作的網路釣魚信和「充電陷阱」正在興起》《慢霧分析：私鑰洩漏為第二季最常見的加密貨幣被盜原因》

Source