Authy 數據泄露使用戶面臨網絡釣魚風險

據該應用開發商 Twilio 報道，7 月 1 日，Authy Android 應用的數據庫遭遇重大安全漏洞。該漏洞導致未經授權的訪問，黑客得以提取與用戶帳戶相關的數據，尤其是電話號碼。

Authy 在安全協議中的作用

儘管 Twilio 保證身份驗證憑據仍然是安全的，並聲明賬戶本身“沒有受到損害”，但電話號碼的暴露引發了人們對潛在網絡釣魚和短信網絡釣魚攻擊的擔憂。

作爲預防措施，Twilio 已敦促 Authy 用戶對可能收到的任何可疑短信保持高度警惕。Authy 在中心化交易所用戶的安全協議中發揮着關鍵作用，它被廣泛用於雙因素身份驗證 (2FA)。

來源：Twilio

該系統通過在用戶的設備上生成臨時代碼來增強安全性，必須將該代碼提供給交易所才能授權提款、轉賬或其他敏感操作。Gemini 和 Crypto.com 等知名交易所依賴 Authy 作爲其主要的 2FA 機制。

此外，Coinbase 和 Binance 等其他主要平臺也支持 Authy 作爲 2FA 選項，強調其廣泛採用。

此次入侵事件發生在未經身份驗證的端點，Twilio 迅速解決了這一安全漏洞。該公司已加強了此端點的防禦，確保不再接受未經身份驗證的請求。

鼓勵用戶升級到該應用程序的最新版本，其中包含旨在防止類似漏洞的更新安全功能。

Twilio 已確認用戶身份驗證代碼的完整性未受到損害。這一保證至關重要，因爲這意味着，儘管存在漏洞，攻擊者也無法未經授權訪問用戶的交易所賬戶。

Twilio 強調，“我們沒有看到任何證據表明威脅行爲者獲得了 Twilio 系統或其他敏感數據的訪問權限”，這表明此次泄密事件被有效地控制在電話號碼的泄露範圍內。

進一步的細節顯示，此次攻擊與 ShinyHunters 網絡犯罪集團有關。根據 Seeking Alpha 的一份報告，ShinyHunters 泄露了一份文本文件，據稱其中包含在 Authy 註冊的 3300 萬個電話號碼。

該組織在網絡安全圈內臭名昭著，曾在 2021 年策劃了 AT&T 的大規模數據泄露事件。據網絡安全博客 Restoreprivacy 記錄，該事件泄露了 5100 萬客戶的數據，是當年重大數據泄露事件之一。

SIM 卡交換攻擊的威脅

Authy 等身份驗證器應用的主要開發目的是防範 SIM 卡交換攻擊，這是一種常見的社會工程方法。在此類攻擊中，犯罪分子會說服電話公司將用戶的電話號碼轉移到他們控制的設備上。

一旦號碼被劫持，攻擊者就可以攔截通過短信發送的 2FA 代碼，從而未經授權訪問受害者的敏感賬戶。這種方法仍然是一個重大威脅，尤其是對於那些仍然通過短信而不是通過更安全的基於應用程序的系統接收 2FA 代碼的用戶來說。

區塊鏈安全公司 SlowMist 重點關注的最近一起事件顯示，OKX 交易所的用戶因 SIM 卡交換攻擊而遭受了相當大的財務損失，凸顯了基於 SMS 的 2FA 的持續風險。

Authy 數據庫遭到入侵，凸顯了數字安全系統持續存在的漏洞，在日益互聯的數字環境中，用戶和公司需要持續保持警惕，積極主動地保護個人和財務信息。

Authy 數據泄露使用戶面臨網絡釣魚風險一文最先出現在 Coinfomania 上。