根據網路安全公司慢霧(SlowMist)的資安長 23pds 在 X 平台上警告稱,雙因素驗證(2FA)服務 Authy 遭到駭客攻擊,3,300 萬名用戶的電話號碼已洩漏。官方開發商 Twilio 已確認相關漏洞。
23pds 表示,有很多加密貨幣從業人員使用 Authy,他提醒這款 2FA 軟體的用戶警惕網路釣魚攻擊。
根據外媒《TechCrunch》報導,知名駭客集團 ShinyHunters 上週在知名駭客論壇上宣稱他們駭入 Twilio 並竊取了 3,300 萬個電話號碼。Twilio 發言人 Kari Ramirez 週二(2日)向 TechCrunch 證實,該公司「已檢測到威脅行為者能夠識別 Authy 帳戶相關的數據,包括電話號碼,這是由於一個未經身分驗證的端點」。Twilio 稱已採取行動確保該端點的安全,不再允許未經身份驗證的請求。
Ramirez 表示:
「我們沒有看到任何證據表明威脅行為者已獲得對 Twilio 系統或其他敏感數據的存取權。作為預防措施,我們要求所有 Authy 用戶更新到最新版的 Android 和 iOS 應用程式,以獲得最新的安全更新,並鼓勵所有 Authy 用戶保持警惕,提高對網路釣魚和「簡訊網路釣魚」(smishing)攻擊的防範意識。」
社會工程學專家、SocialProof Security 的執行長 Rachel Tobac 受訪表示,如果攻擊者能夠列舉出用戶的電話號碼清單,那麼這些攻擊者就可以對那些用戶冒充成 Authy/Twilio,從而增加針對這些電話號碼的網路釣魚攻擊的可信度。
相關文章:
《旅客成為攻擊目標,以 AI 製作的網路釣魚信和「充電陷阱」正在興起》
《慢霧分析:私鑰洩漏為第二季最常見的加密貨幣被盜原因》