Peretas memperoleh akses ke database aplikasi Android Authy dan “dapat mengidentifikasi data yang terkait dengan [akun], termasuk nomor telepon,” menurut postingan peringatan keamanan tanggal 1 Juli yang dikeluarkan oleh pengembang aplikasi, Twilio.

Akun itu sendiri “tidak disusupi,” kata postingan tersebut, yang menyiratkan bahwa penyerang tidak dapat memperoleh kredensial otentikasi. Namun, nomor telepon yang terekspos mungkin digunakan untuk “serangan phishing dan smishing” di masa mendatang. Karena risiko ini, Twilio mendorong pengguna Authy untuk “tetap rajin dan meningkatkan kesadaran seputar teks yang mereka terima.”

Pengguna pertukaran terpusat sering kali mengandalkan Authy untuk otentikasi dua faktor (2FA). Ini menghasilkan kode pada perangkat pengguna, yang mungkin diminta oleh bursa sebelum melakukan penarikan, transfer, atau tugas sensitif lainnya. Pertukaran Gemini dan Crypto.com keduanya menggunakan Authy sebagai aplikasi 2FA default mereka, dan Coinbase, Binance, dan banyak bursa lainnya mengizinkannya sebagai opsi.

Authy terkadang dibandingkan dengan aplikasi Authenticator Google, yang memiliki tujuan serupa dan merupakan pesaing Authy.

Penyerang memperoleh akses melalui “titik akhir yang tidak diautentikasi,” menurut postingan tersebut. Tim telah mengamankan titik akhir ini, dan aplikasi tidak lagi menerima permintaan yang tidak diautentikasi di masa mendatang. Ini mendorong pengguna untuk meningkatkan ke versi aplikasi terbaru, yang berisi peningkatan keamanan.

Twilio mengklaim bahwa kode autentikator pengguna belum disusupi, sehingga penyerang tidak dapat mengakses akun pertukaran mereka. “Kami tidak melihat bukti bahwa pelaku ancaman memperoleh akses ke sistem Twilio atau data sensitif lainnya,” kata perusahaan tersebut.

Menurut laporan dari Seeking Alpha, peretasan tersebut dilakukan oleh kelompok penjahat dunia maya ShinyHunters, yang “membocorkan file teks yang konon menunjukkan 33 juta nomor telepon yang terdaftar di Authy.” Pada tahun 2021, blog keamanan siber Restoreprivacy melaporkan bahwa kelompok kriminal yang sama bertanggung jawab atas pelanggaran data AT&T, yang mengakibatkan data 51 juta pelanggan dirilis secara online.

Aplikasi Authenticator dikembangkan untuk mencegah serangan pertukaran SIM, sejenis skema rekayasa sosial yang melibatkan meyakinkan perusahaan telepon untuk mentransfer nomor telepon pengguna ke penyerang. Setelah penyerang mendapatkan kendali atas akun telepon pengguna, mereka menggunakannya untuk menerima kode 2FA pengguna tanpa perlu memiliki telepon pengguna secara fisik.

Jenis serangan ini masih lazim hingga saat ini, karena beberapa pengguna masih menerima kode 2FA melalui pesan teks, bukan melalui aplikasi. Pada 12 Juni, perusahaan keamanan blockchain SlowMist melaporkan bahwa jutaan dolar baru-baru ini hilang oleh pengguna OKX karena serangan pertukaran SIM.

Majalah: Crypto-Sec: Penipu phishing menargetkan pengguna Hedera, peracun alamat mendapat $70K