I servizi di autenticazione sono particolarmente comodi dal punto di vista della sicurezza, e sono fondamentali per accedere all'autenticazione in due fattori ogni volta che viene richiesto un login. Ma cosa fare se è proprio il servizio di autenticazione a non essere sicuro?
Questo è stato il caso di Authy, servizio presente su Android, iOS e PC da diversi anni e gestito da Twilio. Authy è stato vittima di una pesante violazione dei suoi server, con il conseguente accesso non autorizzato agli account degli utenti registrati.
Cosa è successo con il data breach per Authy
Authy è stato vittima quindi di un data breach, ovvero di una violazione degli account dei suoi utenti. L'accesso non autorizzato ha permesso agli hacker di entrare in possesso di informazioni personali degli utenti registrati. La cosa più grave è tali hacker siano entrati in possesso del numero di telefono degli utenti, un'informazione chiaramente sensibile.
Come hanno fatto a violare Authy? Sembra che la causa sia stata un endpoint API non protetto dei server Twilio, l'azienda che gestisce Authy.
Il comunicato è stato diffuso il 1 luglio, e la società ha anche provveduto a sistemare la falla di sicurezza rilasciando un aggiornamento.
Questo è l'aspetto minore, perché gli utenti coinvolti nella violazione dei dati sono ormai stati colpiti, e i numeri di telefono trapelati sono ormai in possesso di coloro che hanno condotto l'attacco. Secondo il comunicato diffuso, sarebbero ben 33 milioni gli utenti colpiti. Questo significa che potenzialmente 33 milioni di numeri di telefono personali sono finiti nelle mani sbagliate.
Cosa può accadere se il numero di telefono cade nelle mani sbagliate
Gli utenti colpiti dal data breach dovrebbero preoccuparsi. Il fatto che il proprio numero personale sia finito in mani sbagliate potrebbe portare a conseguenze non felici.
Gli hacker potrebbero infatti cercare di trasferire il numero di telefono su un'altra SIM, per poi usarlo per farci quello che vogliono, potenzialmente anche operazioni illegali.
Allo stesso modo, gli hacker potrebbero vendere tali informazioni (ovvero i numeri di telefono che hanno rubato).
E questo potrebbe portare alla ricezione di tentativi di spam, phishing e truffe.
Cosa devono fare gli utenti colpiti
Se siete utenti Authy e il vostro numero di telefono è caduto nelle mani sbagliate, allora vi suggeriamo di proteggere l'accesso alla SIM e al vostro numero. Oltre al codice di sblocco che viene richiesto all'avvio del dispositivo, vi suggeriamo di contattare il vostro operatore per assicurarvi che un cambio SIM non sia stato richiesto.
Chiaramente non basta possedere il numero di telefono per richiedere il trasferimento su una seconda SIM. Servono anche altre informazioni personali che attestino l'identità del richiedente. Queste però potrebbero essere reperite in altri modi, perché magari sono state vittime di altri data breach su altri servizi.
Inoltre, vi suggeriamo di stare particolarmente attenti a eventuali tentativi di truffa da chi possiede il vostro numero di telefono e che potrebbe contattarvi con richieste strane. Vi ricordiamo il tentativo di truffa bancaria che abbiamo subito recentemente.
E rinnoviamo il suggerimento a diffidare da eventuali richieste telefoniche di trasferimento fondi dal proprio conto a un altro.
In ogni caso, vi suggeriamo di aggiornare al più presto l'app Authy sul vostro smartphone, in modo che abbiate la versione più recente che integra la correzione alla vulnerabilità di sicurezza che ha causato tutto questo.