Authy 应用程序泄露：数百万个电话号码被泄露

Twilio 宣布其 Authy 应用程式发生重大安全漏洞，导致数百万个电话号码遭到曝光。Authy 是一款著名的双因素身份验证应用程式，于 2015 年被 Twilio 收购，提供额外的帐号安全保障。以下是 Authy 应用程式漏洞的更多资讯！

漏洞概述及 Twilio 的回应

根据 Twilio 的说法，威胁行为者能够访问 Authy 系统中的一个未经身份验证的端点，这使他们能够提取与用户帐号相关的信息，特别是电话号码。

几天前，一个名为 ShinyHunters 的骇客组织在 BreachForums 上分享了一个数据库，声称其中包含 3300 万个 Authy 用户的电话号码。Twilio 表示，已采取措施通过调整端点来拒绝未经身份验证的请求，以保障安全。

重大数据泄露ShinyHunters 据称泄露了 3300 万个 Twilio Authy 随机电话号码

Authy 应用程序泄露：数百万个电话号码被泄露

ShinyHunters 表示：“Twilio authy 和 segment 存在分段故障，我们借此攻击并扬眉吐气地获利 #cr0wdsp1d3r”pictwittercom/GdYOt0UmK8

Dark Web Informer (@DarkWebInformer) 2024年6月27日

“我们未见任何证据显示威胁行为者获得了 Twilio 系统或其他敏感数据的访问权限。为了预防，我们要求所有 Authy 用户更新至最新的 Android 和 iOS 应用，以获得最新的安全更新，”该公司在 7 月 1 日发布的安全警报中表示。

尽管此次泄露仅涉及电话号码，但对安全的影响却相当重大。拥有这样的名单使攻击者能够更有效地冒充 Authy 或 Twilio 与用户进行交流，从而可能导致成功的网络钓鱼诈骗行为。

Twilio 提醒用户保持警惕，因为威胁行为者可能会试图利用与 Authy 帐号相关的电话号码进行钓鱼和短信钓鱼攻击，并鼓励“所有 Authy 用户保持警惕，对收到的短信增强警觉”。

这并不是 Twilio 第一次成为骇客的目标。2022 年，攻击者曾访问客户数据并发起网络钓鱼行动，泄露超过 130 家公司的数千名员工凭证。

在那次攻击中，入侵者还操控了 93 个 Authy 帐号，注册了额外设备，从而获得真实的双因素验证码，进而可能未经授权访问敏感帐号。

安斯哈桑

2024年7月4日

4个月前

安斯哈桑是一位科技爱好者和网络安全狂热者，在数位转型行业拥有丰富的经验。当安斯不在写博客时，他会观看足球比赛。