Joe Hindy / Autoridade Android
Resumo
- Usuários do aplicativo Twilio Authy Authenticator podem ter tido seus números de telefone expostos a hackers.
- Embora o vazamento tenha exposto informações de identificação pessoal, ele não comprometeu diretamente as contas.
- Desde então, a Twilio protegeu seu sistema, mas alerta que as informações expostas podem ser usadas para phishing.
Segurança não é algo que qualquer um de nós pode ignorar, e com grande parte de nossas vidas vinculadas a várias contas e serviços, proteger esse acesso é essencial. Usuários interessados em dificultar ao máximo as coisas para hackers geralmente procuram opções de login que suportem autenticação de dois fatores, evitando que agentes mal-intencionados mexam em seus dados usando apenas uma senha roubada. Claro, isso torna as próprias soluções 2FA um alvo principal, e é exatamente com isso que a Twilio tem lidado recentemente, já que uma vulnerabilidade de API expôs alguns dados de usuários do Authy.
O Authy é um dos aplicativos 2FA mais populares do mercado, competindo com aplicativos como o Authenticator do Google. BleepingComputer relata que há apenas uma semana, hackers compartilharam um conjunto de dados consistindo de cerca de 33 milhões de entradas, conectando IDs de contas a números de telefone de usuários. A Twilio confirmou ao site que esses dados foram coletados por meio de um hacker que se conectou a um endpoint de API anteriormente desprotegido — essencialmente, eles poderiam simplesmente executar uma lista de todos os números de telefone possíveis e, se um deles estivesse associado a um usuário Authy registrado, a API responderia com as informações da conta vinculada.
Para ser claro, nenhum desses dados exfiltrados inclui senhas ou qualquer coisa que forneça acesso direto à sua conta Authy. Mas dito isso, seu número de telefone ainda é uma informação pessoalmente identificável e pode ser combinado com outros conjuntos de dados para se tornar um perfil cada vez mais útil (ou, para você, ameaçador) para alguém interessado em comprometer sua segurança. Como BleepingComputer notas, as referências aos bancos de dados “gemini” e “nexo” que você vê acima são instruções explícitas para esse tipo de referência cruzada.
Desde então, a Twilio desativou a API exposta que tornou esse vazamento possível e recomenda atualizar o Authy no seu telefone, mas isso parece mais uma prática recomendada do que uma correção específica para qualquer coisa relacionada a esse ataque.