先週、1人のハッカーがアメリカのメッセージング大手Twilioから3300万の携帯電話番号を盗んだと主張しました。火曜日、TwilioはTechCrunchに対して「脅威の行為者」がTwilioが所有する人気の2要素認証アプリAuthyを使用している人々の電話番号を特定できたことを確認しました。
よく知られたハッキングフォーラムで、ハッカーまたはハッカーとして知られるShinyHuntersは、Twilioをハッキングし、3300万人のユーザーの携帯電話番号を入手したと書き込みました。
Twilioの広報担当者であるKari RamirezはTechCrunchに対して、会社が「未認証のエンドポイントによるAuthyアカウントに関連するデータ、電話番号を特定できた脅威の行為者を検出したことを確認しています。このエンドポイントをセキュアにするための対策を取り、未認証リクエストを受け付けなくなりました。」と述べました。
「脅威の行為者がTwilioのシステムや他の機密データにアクセスしたという証拠はありません。予防措置として、すべてのAuthyユーザーに最新のAndroidおよびiOSアプリにアップデートするように依頼し、すべてのAuthyユーザーにフィッシング攻撃やスミッシング攻撃について警戒し、高い意識を持つことを奨励しています。」とRamirezはメールで書いています。
Twilioは月曜日に公式ウェブサイトに同じ声明を含む警告を発表しました。
お問い合わせ
このTwilio/Authyの事件についての追加情報をお持ちですか?仕事外デバイスから、Lorenzo Franceschi-BicchieraiにSignalでセキュアに連絡することができます。電話番号は+1 917 257 1382で、またはTelegram、Keybase、Wire @lorenzofb、またはメールで連絡することができます。SecureDropを介してTechCrunchにもお問い合わせいただけます。電話番号のリストを取得することだけではデータ侵害の中で最も危険ではないように思えるかもしれませんが、それでもそれらの番号の所有者に脅威を与える可能性があります。
ソーシャルエンジニアリングの専門家であり、SocialProof SecurityのCEOであるRachel TobacはTechCrunchに語った、「攻撃者がユーザーの電話番号を列挙できるようになった場合、その攻撃者はその電話番号に対してAuthy/Twilioであるかのように振る舞い、フィッシング攻撃を行う信憑性を高めることができます。」と述べています。
Tobacは、今はハッカーがAuthyユーザーであることを特定的にターゲットにすることができ、攻撃者に本当にAuthyやTwilioから来たかのように見せかける機会を与えると説明しました。
2022年、Twilioは100社以上の企業のデータにアクセスした一団のハッカーによる大規模なデータ侵害に見舞われました。その後、ハッカーたちは幅広いフィッシングキャンペーンを展開し、少なくとも130社から約1万の従業員クレデンシャルを盗み出しました。その当時の侵害の一環として、Twilioはハッカーたちが93人の個々のAuthyユーザーを成功裏に標的にし、それらの被害者のAuthyアカウントに追加デバイスを登録できるようになり、実質的な2要素認証コードを盗むことができたと述べています。
12:52 p.m. ETに更新:この記事は、2022年のTwilio侵害が複数の企業から約1万の従業員クレデンシャルの盗難を引き起こしたフィッシングキャンペーンと直接関連していないことを明確にするために訂正されました。これら2つの攻撃は、おそらく同じ脅威の行為者によって行われたものです。
