米国のメッセージング大手 Twilio は月曜日、認証されていないエンドポイントにより、攻撃者が電話番号を含む Authy アカウントに関連するデータを特定できるデータ侵害を明らかにしました。
同社は、認証されていないリクエストを許可しないよう、このエンドポイントを保護する措置を講じたと述べた。
知らない人のために説明すると、Twilio は人気の 2 要素認証 (2FA) アプリである Authy の開発者であり、2015 年に同社が買収しました。
これは、MFA が有効になっている Web サイトで多要素認証 (MFA) コードを生成する無料のモバイル アプリです。
Twilio からの情報開示は、先週 ShinyHunters として知られるハッカーが、Authy アカウントから 3,300 万件の電話番号を盗んだと BreachForums への投稿で主張した後に行われました。
「脅威アクターが Twilio のシステムやその他の機密データにアクセスしたという証拠はありません。」と Twilio は述べています。セキュリティ警告に書き込んだ月曜日に出版されました。
Authyアカウントは侵害されていないものの、攻撃者がAuthyアカウントに関連付けられた電話番号を使用しようとする可能性があり、SMSフィッシングやSIMスワッピング攻撃に対して脆弱になる可能性が高いと付け加えた。
「私たちはすべての Authy ユーザーに対し、勤勉さを維持し、受信するテキストに対する意識を高めるよう奨励します」と Twilio は強調しました。
予防措置として、同社はすべての Authy ユーザーに最新バージョンをダウンロードするよう求めています。アンドロイド(バージョン 25.1.0 以降) およびiOS(バージョン 26.1.0 以降) アプリでは、セキュリティ更新プログラムを含むバグ修正に対処しています。
Authy アカウントにアクセスできない場合は、すぐに Authy サポートに連絡して、アカウントを復旧して再度実行するための支援を受けるようにしてください。
「私たちは、システムのセキュリティがお客様の信頼を獲得し維持するために重要な部分であることを理解しています。このような事態が発生したことを心よりお詫び申し上げます」と同社は結んだ。
