A empresa de comunicações Twilio alertou para o facto de vários agentes de risco terem acesso a números de telemóvel ligados às contas da sua popular aplicação de autenticação multifator (MFA), Authy.
Num comunicado de segurança, a empresa afirmou que estes agentes conseguiram identificar dados associados às contas Authy através do abuso de uma fragilidade no seu software.
Assim, alertou os seus utilizadores para a possibilidade de serem alvo de ataques informáticos que utilizem estes detalhes.
O início deste golpe de segurança
A invasão inicial foi tornada pública no final de junho, quando o grupo de hackers ShinyHunters publicou, na plataforma BreachForums, um ficheiro CSV que continha 33 milhões de números de telefone conectados.
Esta informação incluía também IDs de contas, os seus estados e o número de dispositivos conectados às mesmas.
A Twilio revelou que esta brecha assentou num endpoint de API não autenticado. A empresa adicionou também que este endpoint já se encontra bloqueado, de forma a evitar mais pedidos não autenticados.
O comunicado deixa também a entender que não há razões para acreditar que os piratas informáticos tenham conseguido comprometer outros sistemas ou dados internos da empresa.
Ainda assim, a Twilio pede aos utilizadores da Authy que tomem medidas de precaução, tais como:
- Atualizar o software da aplicação para a versão mais recente
- Trocar os dados de segurança das contas utilizadas
- Manterem-se diligentes e atentos a todas as mensagens de texto que possam eventualmente receber, principalmente a esquemas de phishing
Clientes da Twilio têm de tomar medidas adicionais para se proteger
A comentar este golpe para a ITPro, o especialista informático da Cequence, Jason Kent, explicou que este ataque se enquadra num padrão comum em várias empresas.
Desta forma, destacou a importância de bloquear as extremidades dos API com camadas adequadas de autenticação e autorização adicionais.
Além disso, partilhou também o seu conhecimento para alertar os utilizadores deste serviço para um reforço da sua segurança.
"Se é um utilizador Authy, é aconselhável que compreenda que este serviço MFA pode estar comprometido, e que qualquer serviço que use o Authy como MFA deve tomar medidas adicionais para garantir que uma troca de SIM não foi feita recentemente na conta." - Jason Kent
