Az önce ne oldu?Twilio, bir bilgisayar korsanının popüler iki faktörlü kimlik doğrulama uygulaması Authy’nin kullanıcılarına ait milyonlarca telefon numarasını çaldığını doğruladı. Şirket, tehdit aktörlerinin bu çalınan numaraları ilişkili Authy hesaplarına yönelik kimlik avı ve smishing saldırıları için kullanabileceğini ekledi.
Geçtiğimiz hafta, ShinyHunters olarak bilinen bir veya birden fazla hacker, popüler bir hacker forumunda Twilio’yu ele geçirdiklerini ve Authy servisine kayıtlı 33 milyon telefon numarasını ele geçirdiklerini iddia eden bir mesaj yayınladı.
ShinyHunters, BleepingComputer’ın yazdığına göre, sayıları içeren bir CSV metin dosyasını karanlık web’e gönderdi. Dosya, her biri bir hesap kimliği, telefon numarası, bir “over_the_top” sütunu, hesap durumu ve cihaz sayısı içeren 33.420.546 satır içeriyor.
Bu hafta yayınlanan bir güvenlik uyarısında Twilio, tehdit aktörlerinin kimliği doğrulanmamış bir API uç noktası nedeniyle telefon numaraları da dahil olmak üzere Authy hesaplarıyla ilişkili veri tespit ettiğini bildirdi. O zamandan beri bu uç noktayı güvence altına almak için harekete geçti ve artık kimliği doğrulanmamış isteklere izin vermiyor.
BleepingComputer, tehdit aktörlerinin Authy kullanıcı verisini, güvenli olmayan API uç noktasına büyük bir telefon numarası listesi girerek topladığını bildiriyor. Geçerli numaralar, uç noktanın Authy’ye kayıtlı ilişkili hesaplar hakkında bilgi döndürdüğünü görecektir.
Twilio ayrıca, bilgisayar korsanlarının telefon numaralarının ötesinde sistemlerine veya diğer hassas verilere eriştiğine dair bir kanıt bulamadığını belirtiyor. Ancak, önlem olarak Authy kullanıcılarının Android ve iOS uygulamalarını en son güvenlik güncellemeleri için güncellemelerini öneriyor. Şirket, olay için içtenlikle özür diledi.
Bu, Twilio’nun karşılaştığı ilk büyük hack olayı değil. Bir grup hacker’ın en az 130 şirketten 10.000 çalışanın kimlik bilgilerinin çalındığı bir kimlik avı kampanyası başlatmasının ardından Haziran 2022 ve Ağustos 2022’de veri ihlalleri yaşandı.
Twilio, bu kampanya sırasında başarılı bir şekilde hedef alınan şirketlerden biri olduğu için saldırganlar 163 Twilio hesabından veriye erişebildiler. Ayrıca 93 Authy hesabına erişebildiler ve bu hesaplara ek cihazlar kaydedebildiler, bu da kullanıcıların iki faktörlü kimlik doğrulama kodlarını çalmalarına olanak sağladı.