Authy: hacker abusano dell’API per rubare di numeri di telefono

Un endpoint API non protetto ha consentito ad alcuni hacker di verificare i numeri di telefono di milioni di utenti con autenticazione a più fattori Authy. Ciò li ha resi potenzialmente vulnerabili agli attacchi di smishing e SIM swapping. A riportarlo è la società di comunicazione statunitense Twilio. Authy è un'app mobile che genera codici di autenticazione a più fattori nei siti web in cui è abilitata l'MFA. Alla fine di giugno, un attore di minacce chiamato ShinyHunters ha fatto trapelare un file di testo CSV contenente 33 milioni di numeri di telefono registrati con il servizio Authy. Il file CSV contiene 33.420.546 righe, ciascuna contenente un ID account, numero di telefono, una colonna "over_the_top", stato dell'account e conteggio dei dispositivi.

Twilio ha ora confermato alla redazione di BleepingComputer che gli autori delle minacce hanno compilato l'elenco dei numeri di telefono utilizzando un endpoint API non autenticato. Come rivelato da Twilio: “gli autori delle minacce erano in grado di identificare i dati associati agli account Authy, inclusi i numeri di telefono, a causa di un endpoint non autenticato. Abbiamo preso provvedimenti per proteggere questo endpoint e non consentire più richieste non autenticate. Non abbiamo riscontrato prove che gli autori delle minacce abbiano ottenuto l'accesso ai sistemi di Twilio o ad altri dati sensibili. A titolo precauzionale, chiediamo a tutti gli utenti Authy di aggiornare alle ultime app Android e iOS per gli ultimi aggiornamenti di sicurezza e incoraggiamo tutti gli utenti Authy a rimani diligente e aumenta la consapevolezza sugli attacchi di phishing e smishing”.

Authy: tecnica hacker simile all’attacco all’API di Twitter e Facebook

Twilio ha dichiarato che i dati sono stati compilati inserendo un enorme elenco di numeri di telefono nell'endpoint API non protetto. Se il numero fosse valido, l'endpoint restituirebbe informazioni sugli account associati registrati con Authy. Ora che l'API è stata protetta, non è più possibile abusarne per verificare se un numero di telefono viene utilizzato con Authy. Questa tecnica è simile al modo in cui gli autori delle minacce hanno abusato di un'API di Twitter e di un'API di Facebook non protette. Ciò per compilare profili di decine di milioni di utenti con informazioni pubbliche e non pubbliche. Lo scraping di Authy conteneva solo numeri di telefono. Tuttavia, questi possono comunque essere vantaggiosi per gli utenti che desiderano condurre attacchi di smishing e scambio di SIM per violare gli account.

ShinyHunters allude a ciò nel suo post, affermando: "Ragazzi, potete unirvi a Gemini o Nexo db". Ciò per suggerire che gli hacker confrontano l'elenco dei numeri di telefono con quelli trapelati nelle presunte violazioni dei dati di Gemini e Nexo. Se vengono trovate corrispondenze, gli hacker potrebbero tentare di eseguire attacchi di scambio SIM o attacchi di phishing. In questo modo possono violare gli scambi di criptovaluta e rubare le risorse nell'account. Twilio ha rilasciato un nuovo aggiornamento di sicurezza e consiglia agli utenti di eseguire l'aggiornamento all'app Authy Android (v25.1.0) e iOS (v26.1.0). Non è chiaro come questo aggiornamento di sicurezza aiuti a proteggere gli utenti dai dati sottratti.

Gli utenti Authy dovrebbero inoltre assicurarsi che i propri account mobili siano configurati per bloccare i trasferimenti di numeri senza fornire un passcode o disattivare le protezioni di sicurezza. Inoltre, gli utenti di Authy dovrebbero prestare attenzione a potenziali attacchi di phishing tramite SMS che tentano di rubare dati più sensibili, come le password.