Letzte Woche behauptete ein Hacker, 33 Millionen Telefonnummern vom US-Messaging-Riesen Twilio gestohlen zu haben. Am Dienstag bestätigte Twilio gegenüber Tech, dass „Bedrohungsakteure“ in der Lage waren, die Telefonnummern von Personen zu identifizieren, die Authy verwenden, eine beliebte Zwei-Faktor-Authentifizierungs-App, die Twilio gehört.
In einem Beitrag in einem bekannten Hackerforum schrieben der oder die als ShinyHunters bekannten Hacker, sie hätten Twilio gehackt und sich die Handynummern von 33 Millionen Benutzern verschafft.
Twilio-Sprecherin Kari Ramirez sagte gegenüber Tech, das Unternehmen habe „festgestellt, dass Bedrohungsakteure aufgrund eines nicht authentifizierten Endpunkts Daten identifizieren konnten, die mit Authy-Konten verknüpft sind, darunter Telefonnummern. Wir haben Maßnahmen ergriffen, um diesen Endpunkt zu sichern und nicht authentifizierte Anfragen nicht mehr zuzulassen.“
„Wir haben keine Beweise dafür gesehen, dass die Bedrohungsakteure Zugriff auf die Systeme von Twilio oder andere sensible Daten erhalten haben. Als Vorsichtsmaßnahme bitten wir alle Authy-Benutzer, die neuesten Android- und iOS-Apps zu aktualisieren, um die neuesten Sicherheitsupdates zu erhalten, und ermutigen alle Authy-Benutzer, wachsam zu bleiben und ein erhöhtes Bewusstsein für Phishing- und Smishing-Angriffe zu entwickeln“, schrieb Ramirez in einer E-Mail.
Twilio auch hat eine Warnung veröffentlicht auf seiner offiziellen Website am Montag, einschließlich der gleichen Erklärung.
Kontaktiere uns
Haben Sie weitere Informationen zu diesem Twilio/Authy-Vorfall? Von einem privaten Gerät aus können Sie Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382 oder über Telegram, Keybase und Wire @lorenzofb oder per E-Mail erreichen. Sie können Tech auch über SecureDrop kontaktieren.
Auch wenn der Zugriff auf eine Liste mit Telefonnummern allein vielleicht nicht der gefährlichste Datenschutzverstoß ist, kann er für die Besitzer dieser Nummern dennoch eine Bedrohung darstellen.
„Wenn es Angreifern gelingt, eine Liste mit den Telefonnummern von Benutzern aufzulisten, können sie sich gegenüber diesen Benutzern als Authy/Twilio ausgeben und so die Glaubwürdigkeit eines Phishing-Angriffs auf diese Telefonnummer erhöhen“, sagte Rachel Tobac, Expertin für Social Engineering und CEO von SocialProof Security, gegenüber Tech.
Tobac erklärte, dass Hacker nun gezielt Personen ins Visier nehmen können, von denen sie wissen, dass sie Authy-Benutzer sind. Dadurch haben die Angreifer die Möglichkeit, ihre bösartigen Nachrichten so aussehen zu lassen, als kämen sie tatsächlich von Authy und Twilio.
Im Jahr 2022 erlitt Twilio einen größeren Datendiebstahl, als eine Gruppe von Hackern auf die Daten von mehr als 100 Unternehmenskunden zugriff. Die Hacker starteten daraufhin eine groß angelegte Phishing-Kampagne, die zum Diebstahl von rund 10.000 Mitarbeiteranmeldeinformationen von mindestens 130 Unternehmen führte. Im Rahmen dieses damaligen Datendiebstahls, so Twilio, nahmen Hacker erfolgreich 93 einzelne Authy-Benutzer ins Visier und konnten zusätzliche Geräte auf den Authy-Konten dieser Opfer registrieren, wodurch sie effektiv echte Zwei-Faktor-Codes stehlen konnten.
UPDATE, 12:52 Uhr ET: Diese Meldung wurde korrigiert, um klarzustellen, dass der Twilio-Datenleck von 2022 nicht direkt mit der Phishing-Kampagne zusammenhängt, bei der rund 10.000 Mitarbeiterdaten mehrerer Unternehmen gestohlen wurden. Die beiden Angriffe wurden angeblich von denselben Bedrohungsakteuren durchgeführt.