Les pirates ont eu accès à la base de données de l'application Authy Android et « ont pu identifier les données associées aux [comptes], y compris les numéros de téléphone », selon un message d'alerte de sécurité du 1er juillet publié par le développeur de l'application, Twilio.

Les comptes eux-mêmes « ne sont pas compromis », indique le message, ce qui implique que les attaquants n'ont pas pu obtenir les informations d'authentification. Cependant, les numéros de téléphone exposés pourraient être utilisés à l’avenir pour des « attaques de phishing et de smishing ». En raison de ce risque, Twilio a encouragé les utilisateurs d'Authy à « rester diligents et à être plus conscients des textes qu'ils reçoivent ».

Les utilisateurs d'échange centralisé s'appuient souvent sur Authy pour l'authentification à deux facteurs (2FA). Il génère un code sur l'appareil de l'utilisateur, que la plateforme d'échange peut demander avant d'effectuer des retraits, des transferts ou d'autres tâches sensibles. Les échanges Gemini et Crypto.com utilisent tous deux Authy comme application 2FA par défaut, et Coinbase, Binance et de nombreux autres échanges l'autorisent en option.

Authy est parfois comparé à l'application Authenticator de Google, qui a un objectif similaire et est un concurrent d'Authy.

L’attaquant a obtenu l’accès via un « point de terminaison non authentifié », selon le message. L'équipe a sécurisé ce point de terminaison et l'application n'accepte plus les demandes non authentifiées à l'avenir. Il encourage les utilisateurs à passer à la dernière version de l'application, qui contient des améliorations de sécurité.

Twilio a affirmé que les codes d'authentification des utilisateurs n'avaient pas été compromis, les attaquants ne devraient donc pas pouvoir accéder à leurs comptes Exchange. "Nous n'avons vu aucune preuve que les acteurs malveillants ont obtenu l'accès aux systèmes de Twilio ou à d'autres données sensibles", a déclaré la société.

Selon un rapport de Seeking Alpha, le piratage a été réalisé par le groupe cybercriminel ShinyHunters, qui « a divulgué un fichier texte qui montrerait prétendument les 33 millions de numéros de téléphone enregistrés auprès d'Authy ». En 2021, le blog de cybersécurité Restoreprivacy a rapporté que ce même groupe criminel était responsable de la violation de données d'AT&T, qui a entraîné la publication en ligne des données de 51 millions de clients.

Les applications d'authentification ont été développées pour empêcher les attaques par échange de carte SIM, un type de système d'ingénierie sociale qui consiste à convaincre une compagnie de téléphone de transférer le numéro de téléphone d'un utilisateur à l'attaquant. Une fois que l’attaquant prend le contrôle du compte téléphonique de l’utilisateur, il l’utilise pour recevoir les codes 2FA de l’utilisateur sans avoir besoin de posséder physiquement le téléphone de l’utilisateur.

Ce type d’attaque est encore répandu aujourd’hui, car certains utilisateurs reçoivent encore des codes 2FA par messagerie texte plutôt que via une application. Le 12 juin, la société de sécurité blockchain SlowMist a signalé que des millions de dollars avaient récemment été perdus par les utilisateurs d'OKX en raison d'attaques par échange de carte SIM.

Magazine : Crypto-Sec : un escroc par phishing cible les utilisateurs d'Hedera, l'empoisonneur d'adresse reçoit 70 000 $