Mettez à jour votre application Authy dès maintenant
Qu'est-ce qui vient de se passer? Twilio a confirmé qu'un pirate informatique avait volé des millions de numéros de téléphone appartenant aux utilisateurs de sa célèbre application d'authentification à deux facteurs Authy. L'entreprise a ajouté que les acteurs malveillants pourraient utiliser ces numéros volés pour des attaques de phishing et de smishing sur les comptes Authy associés.
La semaine dernière, un ou plusieurs pirates informatiques connus sous le nom de ShinyHunters ont publié un message sur un forum de piratage informatique populaire affirmant avoir compromis Twilio et obtenu 33 millions de numéros de téléphone enregistrés auprès du service Authy.
ShinyHunters a publié un fichier texte CSV contenant les numéros sur le dark web, écrit BleepingComputer. Le fichier contient 33 420 546 lignes, chacune contenant un identifiant de compte, un numéro de téléphone, une colonne « over_the_top », le statut du compte et le nombre d'appareils.
Dans une alerte de sécurité publiée cette semaine, Twilio a signalé avoir détecté que des acteurs malveillants avaient identifié des données associées à des comptes Authy, notamment des numéros de téléphone, en raison d'un point de terminaison d'API non authentifié. L'entreprise a depuis pris des mesures pour sécuriser ce point de terminaison et n'autorise plus les requêtes non authentifiées.
BleepingComputer rapporte que des acteurs malveillants ont collecté les données des utilisateurs d'Authy en saisissant une liste massive de numéros de téléphone dans le point de terminaison de l'API non sécurisé. Les numéros valides verraient le point de terminaison renvoyer des informations sur les comptes associés enregistrés auprès d'Authy.
Twilio affirme également n'avoir trouvé aucune preuve que des pirates informatiques aient pu accéder à ses systèmes ou à d'autres données sensibles au-delà des numéros de téléphone. Cependant, par mesure de précaution, elle recommande aux utilisateurs d'Authy de mettre à jour leurs applications Android et iOS pour obtenir les dernières mises à jour de sécurité. L'entreprise s'est sincèrement excusée pour l'incident.
Ce n'est pas le premier incident de piratage informatique majeur auquel Twilio est confronté. L'entreprise a subi des violations de données en juin 2022 et en août 2022 après qu'un groupe de pirates informatiques a lancé une campagne de phishing qui a vu 10 000 identifiants d'employés volés dans au moins 130 entreprises.
Twilio étant l'une des entreprises ciblées avec succès lors de cette campagne, les attaquants ont pu accéder aux données de 163 comptes Twilio. Ils ont également pu accéder à 93 comptes Authy et enregistrer des appareils supplémentaires sur ces comptes, ce qui leur a permis de voler les codes d'authentification à deux facteurs des utilisateurs.