Twilio a confirmé qu’un point de terminaison d’API non sécurisé permettait aux acteurs malveillants de vérifier les numéros de téléphone de millions d’utilisateurs d’authentification multifacteur Authy, les rendant potentiellement vulnérables aux attaques de phishing par SMS et d’échange de tarjeta SIM.
Authy es una aplicación móvil que genera códigos de autenticación multifactor en sitios web habilitados para MFA.
A finales de junio, un actor malicioso llamado ShinyHunters filtró un archivo de texto CSV que contiene lo que afirma son 33 millones de números de teléfono registrados en el servicio Authy.
Fuente: BleepingComputer
El archivo CSV contiene 33.420.546 filas, cada una de las cuales contiene un ID de cuenta, un número de teléfono, una columna «over_the_top», un estado de cuenta y una cantidad de dispositivos.
Twilio ahora ha confirmado a BleepingComputer que los actores de amenazas compilaron la lista de números de teléfono utilizando un punto final API no autenticado.
“Twilio detectó que actores maliciosos pudieron identificar datos asociados con cuentas Authy, incluidos números de teléfono, a través de un punto final no autenticado. Hemos tomado medidas para proteger este punto final y ya no permitir solicitudes no autenticadas”, dijo Twilio a BleepingComputer.
“No hemos visto ninguna evidencia de que actores maliciosos hayan obtenido acceso a los sistemas de Twilio u otros datos confidenciales. Como precaución, pedimos a todos los usuarios de Authy que actualicen a las últimas aplicaciones de Android e iOS para beneficiarse de las últimas actualizaciones de seguridad y animamos a todos los usuarios de Authy a ser diligentes y ser más conscientes de los ataques de phishing y smishing. »
En 2022, Twilio reveló que sufrió infracciones en junio y agosto que permitieron a actores maliciosos violar su infraestructura y acceder a la información de los clientes de Authy.
Uso indebido de API inseguras
BleepingComputer descubrió que los datos se compilaron ingresando una lista masiva de números de teléfono en el punto final API inseguro. Si el número fuera válido, el punto final devolvería información sobre las cuentas asociadas registradas con Authy.
Ahora que la API es segura, ya no se puede abusar de ella para comprobar si se utiliza un número de teléfono con Authy.
Esta técnica es similar a cómo los actores maliciosos abusaron de una API insegura de Twitter y una API de Facebook para compilar los perfiles de decenas de millones de usuarios que contienen información pública y no pública.
Aunque los datos recuperados por Authy solo contienen números de teléfono, aún pueden ser beneficiosos para los usuarios que buscan llevar a cabo ataques de smishing y de intercambio de SIM para secuestrar cuentas.
ShinyHunters alude a esto en su publicación, afirmando: «Puede comunicarse con él en Gemini o Nexo db», sugiriendo que los actores de amenazas están comparando la lista de números de teléfono con los filtrados en supuestas violaciones de datos de Gemini y Nexo.
Si se encuentran coincidencias, los actores malintencionados podrían intentar llevar a cabo ataques de intercambio de SIM o ataques de phishing para ingresar a cuentas de intercambio de criptomonedas y robar todos los activos.
Twilio ahora tiene lanzó una nueva actualización de seguridad y recomienda a los usuarios que actualicen su aplicación de Android (v25.1.0) e iOS (v26.1.0) a Authy, que incluye actualizaciones de seguridad. No está claro cómo esta actualización de seguridad ayuda a proteger a los usuarios de actores maliciosos que utilizan los datos recuperados en ataques.
Los usuarios de Authy también deben asegurarse de que sus cuentas móviles estén configuradas para bloquear transferencias de números sin proporcionar una contraseña ni desactivar las protecciones de seguridad.
Además, los usuarios de Authy deben estar alerta ante posibles ataques de phishing por SMS que intentan robar datos más confidenciales, como contraseñas.
En lo que parece ser una infracción no relacionada, Twilio también inició enviar notificaciones de violación de datos después de que un depósito AWS S3 no seguro de un proveedor externo expusiera datos relacionados con mensajes SMS enviados a través de la empresa.
