发生了什么?
2024 年 6 月 27 日,ShinyHunters 黑客组织在 BreachForums 上宣布泄露了影响 3300 万个电话号码的数据。Twilio 在 7 月初核实了数据泄露事件,并发现威胁行为者由于未能对 API 端点进行身份验证而获取了与 Authy 用户相关的私人数据,包括电话号码。
Twilio 数据泄露
Authy 是什么?
Authy 是一款移动应用程序,通过提供双因素身份验证 (2FA) 服务来保护用户帐户。它会在您的移动设备上生成基于时间的一次性密码 (TOTP)。
登录时,用户除了需要用户名和密码外,还需要 TOTP,英国华侨华人数据 从而增强安全性。这一额外步骤使未经授权的用户更难访问帐户。
Authy 使用共享密钥和当前时间生成 TOTP,以创建每 30 秒更改一次的唯一代码。当您输入此代码时,服务器会将其与预期值进行匹配,确保只有有权访问您设备的人才能登录。
使用 Authy 应用
此额外步骤可确保即使有人获得您的密码,他们也无法在没有 TOTP 的情况下访问您的帐户。Authy 还可以安全地存储您的 2FA 令牌,如果您更换或丢失设备,可以轻松恢复它们。
漏洞:未经身份验证的 API 端点
未经身份验证的 API 端点允许任何人访问 API 的一部分,而无需密码或权限。
攻击者利用 Twilio 中未经身份验证的 API 端点,向其提供大量电话号码列表,以确定哪些号码与帐户相关联。他们无需身份验证即可查询端点,并收到显示帐户 ID 号、帐户状态、设备数量和设备锁定状态的响应。
ShinyHunters 可能使用了之前数据泄露事件中的这份列表来利用未经身份验证的 API 端点。他们还表示,其他黑客可能会利用被盗数据和其他信息进行更多攻击,包括针对加密货币。
Twilio 如何应对此次泄密事件?
Twilio 发布了新的安全更新,并建议用户升级到 Authy Android(v25.1.0)和 iOS(v26.1.0)应用程序。这些更新包括必要的安全改进。然而,这些更新并没有明确说明它们如何利用泄露的数据保护用户免受攻击者的攻击。