Twilio bestätigt Datenleck: Hacker haben Telefonnummern von 33 Millionen Authy-Nutzern offengelegt

 (securityweek.com)
3 Punkte von GN⁺ 2024-07-05 | 2 Kommentare | Auf WhatsApp teilen
  • Die berüchtigte Hackergruppe ShinyHunters kündigte auf der Website BreachForums an, 33 Millionen zufällige Telefonnummern im Zusammenhang mit Twilios 2FA-App Authy zu veröffentlichen
  • Zu den offengelegten Informationen gehören auch Konto-IDs und einige nicht personenbezogene Daten
  • Twilio bestätigte das Datenleck mit einer Sicherheitswarnung auf seiner Website
  • „Twilio hat einen Bedrohungsakteur entdeckt, der über einen nicht authentifizierten Endpunkt Daten identifizieren konnte, die mit Authy-Konten verknüpft waren. Wir haben Maßnahmen ergriffen, um diesen Endpunkt abzusichern, und lassen keine nicht authentifizierten Anfragen mehr zu“, erklärte das Unternehmen
  • Twilio erklärte, es gebe keine Hinweise darauf, dass Hacker auf Systeme zugegriffen oder andere sensible Daten erlangt hätten, empfiehlt Authy-Nutzern aber vorsorglich, die neuesten Sicherheitsupdates für Android und iOS zu installieren
  • „Authy-Konten wurden nicht kompromittiert, aber da Bedrohungsakteure die mit Authy-Konten verknüpften Telefonnummern für Phishing- und Smishing-Angriffe nutzen könnten, empfehlen wir allen Authy-Nutzern, bei eingehenden Textnachrichten wachsam und vorsichtig zu sein“, so Twilio

Meinung von GN⁺

  • Der Datenleck-Vorfall bei Twilio unterstreicht die Bedeutung nicht authentifizierter Endpunkte. Er zeigt, wie wichtig es ist, sichere Endpunkte aufrechtzuerhalten
  • Authy-Nutzer sollten ihre Wachsamkeit gegenüber Phishing- und Smishing-Angriffen erhöhen. Durch das Leck der Telefonnummern könnten solche Angriffe zunehmen
  • Twilio hat schnell reagiert und den Endpunkt abgesichert, doch auch andere Unternehmen sollten auf ähnliche Situationen vorbereitet sein. Präventive Maßnahmen sind wichtig
  • Die Aktivitäten von Hackergruppen wie ShinyHunters nehmen weiter zu. Unternehmen müssen ihren Sicherheitsstatus kontinuierlich überprüfen und stärken
  • Andere Sicherheits-Apps mit ähnlichen Funktionen sind unter anderem Google Authenticator und Microsoft Authenticator. Nutzer können verschiedene Optionen in Betracht ziehen

Verwandte Beiträge

2 Kommentare

 
GN⁺ 2024-07-05
Hacker-News-Kommentare

  • Meine Telefonnummer war in mehreren Datenlecks enthalten, wodurch ich deutlich mehr Spam bekomme

    • Das klassische Telefonnetz könnte wegen des Spam-Problems so verschwinden wie das Fax
    • Selbst für Gespräche mit der Familie nutze ich FaceTime, Zoom, Meet usw.
    • Ich kann mich an keinen legitimen Anruf über das klassische Telefonnetz erinnern
    • Diese Plattformen werden wahrscheinlich Werbung hinzufügen, wenn sie den Markt vollständig beherrschen
    • Das zeigt schon das Beispiel von Gmail, das E-Mails monetarisiert hat

  • Es ist unsinnig, dass Authy eine Mobiltelefonnummer und eine E-Mail-Adresse verlangt

    • Cloud-Synchronisierung oder Backups sind nicht nötig
    • Nutzerdaten in der Cloud zu speichern kann selbst zum Angriffsziel werden
    • Das widerspricht dem Geist von 2FA

  • Twilio verlangt Authy für die 2FA von SendGrid und Twilio selbst

    • Standardisierte 2FA wird nicht unterstützt, daher kann man 1Password nicht verwenden
    • Ich wurde gezwungen, Authy zu nutzen, und trotzdem traten weiter Probleme auf
    • Twilio sollte Nutzern keine maßgeschneiderte Lösung aufzwingen

  • Viele Organisationen und Unternehmen verlangen schon beim ersten Kontakt persönliche Informationen, was Unmut auslöst

    • Selbst medizinische Dienstleister schicken Kundendaten per unverschlüsselter Klartext-E-Mail
    • Sie behaupten sogar, das Urheberrecht an Dokumenten mit medizinischen Ergebnissen liege bei ihnen
    • Viele Leute geben solchen Diensten gute Bewertungen, lesen in Wirklichkeit aber die Nutzungsbedingungen nicht

  • Ich habe eine Informationsleck-Schwachstelle im Benutzerregistrierungs-Endpunkt gefunden

    • Über die Telefonnummer eines Authy-Nutzers konnte man andere Nummern, Geräte, Zeitstempel, E-Mail-Adressen usw. abfragen
    • Es hat zwei Jahre gedauert, dieses Problem zu beheben

  • Ich nutze die iOS-App von Authy zur Erzeugung von 2FA-Tokens, kann mich aber nicht erinnern, jemals eine Telefonnummer eingegeben zu haben

    • Ich prüfe noch, ob es ein Problem der iOS-Client-App selbst ist oder ob nur Nutzer betroffen sind, die ein Online-Konto erstellt haben

  • Wegen eines nicht authentifizierten Endpunkts konnte Twilio Daten identifizieren, die mit Authy-Konten verknüpft waren

    • Dieser Endpunkt wurde abgesichert und akzeptiert nun keine nicht authentifizierten Anfragen mehr
    • Um solche Probleme in der eigenen App zu vermeiden, sollte Authentifizierung für alle Anfragen erzwungen und Row-Level-Security angewendet werden
    • Solche Probleme lassen sich mit einem Test-Framework erkennen

  • Wenn man nicht Authys benutzerdefiniertes Authentifizierungsschema nutzt, ist jetzt der richtige Zeitpunkt, die Daten zu exportieren

    • Raw-TOTP-Tokens lassen sich nur in der Desktop-Version exportieren
    • Nachdem man die Tokens in die Desktop-App geladen hat, muss man auf eine ältere Version downgraden und dann eine JavaScript-Funktion ausführen

  • Wenn man auf dem iPhone den Nicht-stören-Modus aktiviert, werden alle Anrufe an die Mailbox weitergeleitet

    • Nur wiederholte Anrufe von Notfallkontakten, Favoriten und Personen im 1by1-Fokus klingeln durch
    • Unter Android funktioniert dieselbe Einstellung nicht
    • Wenn man die Telefonnummer zu Google Voice oder Fi portiert, kann man Spam-Anrufe filtern

  • Ich habe ente.io/auth entwickelt

    • Wer einen plattformübergreifenden Authenticator braucht, sollte es sich ansehen
    • FOSS, mit optionalen e2ee-Backups