Chi utilizza Authy come app per l'autenticazione a due fattori è chiamato ad aggiornare immediatamente l'app Android alla versione 25.1.0 ed iOS alla 26.1.0. La piattaforma è stata infatti vittima di un attacco hacker tramite cui sono stati sottratti i numeri di telefono di 33 milioni di utenti in tutto il mondo.
Twilio, proprietaria di Authy dal 2015, ha spiegato che "gli autori delle minacce sono stati in grado di identificare i dati associati agli account Authy, inclusi i numeri di telefono, a causa di un endpoint non autenticato". L'azienda afferma che sono già stati presi provvedimenti per proteggere l'endpoint e "non consentire più richieste non autenticate".
Per precauzione viene chiesto a tutti gli utenti di effettuare l'update delle app Android ed iOS alle versioni più recenti che includono gli ultimi aggiornamenti di sicurezza. Il rischio ora è che gli hacker possano utilizzare i numeri telefonici sottratti per attacchi di phishing e smishing:
[Gli hacker] possono fingere di essere Authy/Twilio con gli utenti colpiti, aumentando la credibilità di un attacco di phishing su quel numero di telefono - Rachel Tobac, CEO di SocialProof Security
In altre parole, gli autori dell'attacco ora sanno chi si affida ad Authy per la 2FA e possono così contattarli più facilmente spacciandosi per Twilio e inviando ad esempio messaggi dannosi.
Il Twilio Security Incident Response Team rilascerà ulteriori aggiornamenti qualora dovessero emergere nuovi dettagli.
Se non riesci ad accedere al tuo account Authy, ti consigliamo di contattare immediatamente il supporto Authy.
NON LA PRIMA VOLTA
Il possibile autore dell'attacco è ShinyHunters, auto-accusatosi su un forum. E non è nemmeno a prima volta che Twilio viene presa di mira: nel 2022 tramite una campagna di social engineering gli hacker hanno avuto accesso ai numeri di telefono di 1.900 clienti dell'app di messaggistica Signal, che proprio a Twilio si era affidata per il servizio di autenticazione.