黑客滥用 API 端点验证了数百万个Authy MFA 电话号码
💡
原文中文,约1300字,阅读约需3分钟。
📝
内容提要
Twilio发现了一个不安全的API端点,允许威胁行为者非法验证数百万Authy多因素认证用户的电话号码。这可能导致短信钓鱼和SIM卡交换攻击。Twilio已采取措施保护端点,并敦促Authy用户更新其应用程序以获取最新的安全更新。没有证据表明威胁行为者从Twilio的系统中获取了敏感数据。然而,作为预防措施,Twilio建议用户对钓鱼和欺诈攻击保持警惕。此事件类似于以前滥用API编制用户配置文件的案例。Twilio已发布了Authy的新安全更新。
🎯
关键要点
-
Twilio发现了一个不安全的API端点,允许威胁行为者非法验证数百万Authy用户的电话号码。
-
此事件可能导致短信钓鱼和SIM卡交换攻击。
-
ShinyHunters泄露了包含3300万个电话号码的CSV文件,数据来源于Authy服务。
-
威胁行为者利用未经验证的API端点编制电话号码列表,识别与Authy账户相关的数据。
-
Twilio已采取措施保护该端点,禁止未经身份验证的请求。
-
目前没有证据表明敏感数据被获取,但Twilio建议用户保持警惕。
-
Twilio曾在2022年披露过两起漏洞攻击事件,威胁行为者曾访问Authy客户信息。
-
滥用不安全的API技术与之前的Twitter和Facebook API滥用案例类似。
-
ShinyHunters暗示威胁行为者可能会尝试执行SIM卡交换攻击或网络钓鱼攻击。
-
Twilio已发布新的安全更新,建议用户升级到最新版本的Authy应用程序。
➡️
