Twilio confirma que un hacker filtró datos de números de teléfono de 33 millones de usuarios de Authy

 (securityweek.com)
3 puntos por GN⁺ 2024-07-05 | 2 comentarios | Compartir por WhatsApp
  • El infame grupo de hackers ShinyHunters anunció en el sitio web BreachForums la filtración de 33 millones de números de teléfono aleatorios relacionados con Authy, la app de 2FA de Twilio
  • La información filtrada también incluye IDs de cuenta y algunos datos no personales
  • Twilio publicó una alerta de seguridad en su sitio web para confirmar la filtración de datos
  • "Twilio detectó a un actor de amenazas que pudo identificar datos asociados con cuentas de Authy a través de un endpoint no autenticado. Hemos tomado medidas para proteger este endpoint y ya no permitimos solicitudes no autenticadas", señaló la empresa
  • Twilio dijo que no hay evidencia de que el hacker haya accedido a sus sistemas ni obtenido otros datos sensibles, pero por precaución recomendó a los usuarios de Authy instalar las últimas actualizaciones de seguridad de Android e iOS
  • "Aunque las cuentas de Authy no se vieron comprometidas, recomendamos que todos los usuarios de Authy estén alerta y sean cautelosos con los mensajes de texto que reciban, ya que el actor de amenazas podría usar los números de teléfono asociados con las cuentas de Authy para ataques de phishing y smishing", dijo Twilio

La opinión de GN⁺

  • El incidente de filtración de datos de Twilio subraya la importancia de los endpoints no autenticados. Muestra lo crucial que es mantener endpoints seguros
  • Los usuarios de Authy deben aumentar su vigilancia frente a ataques de phishing y smishing. Es posible que este tipo de ataques aumente debido a la filtración de números de teléfono
  • Twilio respondió rápidamente para proteger el endpoint, pero otras empresas también deben prepararse para situaciones similares. Las medidas preventivas son importantes
  • La actividad de grupos de hackers como ShinyHunters sigue aumentando. Las empresas deben revisar y reforzar continuamente su postura de seguridad
  • Otras apps de seguridad con funciones similares incluyen Google Authenticator y Microsoft Authenticator. Los usuarios pueden considerar distintas opciones

Lecturas relacionadas

2 comentarios

 
carnoxen 2024-07-12

https://gist.github.com/gboudreau/94bb0c11a6209c82418d01a59d958c93

Cómo extraer los datos dentro de Authy
 
GN⁺ 2024-07-05
Opiniones en Hacker News

  • Mi número de teléfono estuvo incluido en varias filtraciones de datos y desde entonces aumentó mucho el spam

    • La red telefónica tradicional corre el riesgo de desaparecer como el fax por el problema del spam
    • Incluso las llamadas con la familia las hago por FaceTime, Zoom, Meet, etc.
    • No recuerdo la última vez que tuve una llamada legítima por la red telefónica tradicional
    • Es posible que estas plataformas agreguen publicidad si llegan a dominar por completo el mercado
    • Basta ver el caso de Gmail y cómo monetizó el correo electrónico

  • Es absurdo que Authy pida número de celular y dirección de correo electrónico

    • No necesito sincronización en la nube ni respaldos
    • Guardar información de usuarios en la nube puede convertirla en objetivo de ataques
    • Eso va en contra del espíritu del 2FA

  • Twilio exige Authy para el 2FA de SendGrid y del propio Twilio

    • No admite 2FA estandarizado, así que no se puede usar 1Password
    • Me obligaron a usar Authy y aun así siguieron apareciendo problemas
    • Twilio no debería imponer a los usuarios una solución propia

  • Molesta que tantas organizaciones y empresas pidan información personal en el primer contacto

    • Incluso proveedores de servicios médicos envían datos de clientes por correo electrónico en texto plano
    • Afirman que tienen derechos de autor sobre los documentos que entregan con los resultados médicos
    • La gente les pone calificaciones altas a estos servicios, pero en realidad no lee los términos de uso

  • Encontré una vulnerabilidad de exposición de información en el endpoint de registro de usuarios

    • A partir del número de teléfono de usuarios de Authy se podían consultar otros números, dispositivos, marcas de tiempo, direcciones de correo y más
    • Tardaron 2 años en resolver este problema

  • Uso la app de iOS de Authy para generar tokens 2FA, pero no recuerdo haber ingresado mi número de teléfono

    • Estoy verificando si es un problema de la propia app cliente de iOS o si solo afecta a usuarios que crearon una cuenta en línea

  • Twilio pudo identificar datos relacionados con cuentas de Authy debido a un endpoint no autenticado

    • Ya protegieron ese endpoint para que no acepte más solicitudes no autenticadas
    • Para evitar este tipo de problemas en una app propia, hay que exigir autenticación para todas las solicitudes y aplicar seguridad a nivel de fila
    • Se pueden detectar estos problemas con un framework de pruebas

  • Si no usas el esquema de autenticación personalizado de Authy, este es el momento de exportar tus datos

    • Los tokens TOTP sin procesar solo se pueden exportar desde la versión de escritorio
    • Después de cargar los tokens en la app de escritorio, hay que volver a una versión anterior y ejecutar una función de JavaScript

  • Si activas No molestar en iPhone, todas las llamadas se van al buzón de voz

    • Solo suenan las llamadas repetidas de contactos de emergencia, favoritos o personas incluidas en el enfoque 1by1
    • En Android la misma configuración no funciona igual
    • Si portas tu número a Google Voice o Fi, puedes filtrar llamadas spam

  • Construí ente.io/auth

    • Si necesitas un autenticador multiplataforma, vale la pena revisarlo
    • FOSS, con respaldo e2ee opcional