A Twilio confirmou que um ponto de extremidade de API não seguro permitiu que agentes de ameaças verificassem os números de telefone de milhões de usuários de autenticação multifator Authy, potencialmente tornando-os vulneráveis a ataques de phishing por SMS e troca de SIM.
Authy é um aplicativo móvel que gera códigos de autenticação multifator em sites onde o MFA está habilitado.
No final de junho, um agente de ameaças chamado ShinyHunters vazou um arquivo de texto CSV contendo o que eles afirmam serem 33 milhões de números de telefone registrados no serviço Authy.
O arquivo CSV contém 33.420.546 linhas, cada uma contendo um ID de conta, número de telefone, uma coluna “over_the_top”, status da conta e contagem de dispositivos.
Abuso de APIs não seguras
Agora que a API foi protegida, ela não pode mais ser usada indevidamente para verificar se um número de telefone é usado com o Authy.
Essa técnica é semelhante à forma como os agentes de ameaças abusaram de uma API desprotegida do Twitter e da API do Facebook para compilar perfis de dezenas de milhões de usuários que contêm informações públicas e não públicas.
Embora o Authy scrape contenha apenas números de telefone, ele ainda pode ser vantajoso para usuários que buscam realizar ataques de smishing e troca de SIM para violar contas.
O ShinyHunters faz alusão a isso em sua publicação, afirmando: “Vocês podem participar no Gemini ou no Nexo db”, sugerindo que os agentes de ameaças comparem a lista de números de telefone com aqueles vazados nas supostas violações de dados do Gemini e do Nexo.
Se forem encontradas correspondências, os cibercriminosos podem tentar realizar ataques de troca de SIM ou ataques de phishing para violar as contas da corretora de criptomoedas e roubar todos os ativos.
A Twilio lançou agora uma nova atualização de segurança e recomenda que os usuários atualizem para o Authy Android (v25.1.0) e o iOS App (v26.1.0), que inclui atualizações de segurança. Não está claro como essa atualização de segurança ajuda a proteger os usuários de agentes de ameaças que usam os dados raspados em ataques.
Os usuários do Authy também devem garantir que suas contas móveis estejam configuradas para bloquear transferências de números sem fornecer uma senha ou desativar as proteções de segurança.
Além disso, os usuários do Authy devem ficar atentos a possíveis ataques de phishing por SMS que tentam roubar dados mais confidenciais, como senhas.
No que parece ser uma violação não relacionada, a Twilio também começou a enviar notificações de violação de dados depois que um bucket AWS S3 não seguro de um fornecedor terceirizado expôs dados relacionados a SMS enviados pela empresa.