Hackers exploraram brecha no Authy para coletar telefone de usuários
Em uma recente falha de segurança, hackers conseguiram explorar uma vulnerabilidade no Authy, serviço de autenticação de dois fatores pertencente à Twilio, para coletar números de telefone de milhões de usuários. A empresa confirmou o incidente em comunicado nesta última segunda-feira (1º), após detectar que os invasores acessaram dados relacionados a contas Authy através de um endpoint não autenticado. Clique e siga o Canaltech no WhatsApp App de 2FA Authy encerra versão para computadores A Twilio informou que identificou a falha e já tomou medidas para impedir que novas solicitações não autenticadas sejam processadas. Em nota, a companhia pede que todos os usuários atualizem o aplicativo do serviço para a última versão disponível para Android e iOS, que incluem atualizações de segurança importantes. Vulnerabilidade no Authy A vulnerabilidade permitiu que os hackers consultassem, sem necessidade de autenticação, os números de telefone associados a contas Authy— o que possibilitou a coleta de 33 milhões de números de celulares de usuários do serviço. -CT no Flipboard: você já pode assinar gratuitamente as revistas Canaltech no Flipboard do iOS e Android e acompanhar todas as notícias em seu agregador de notícias favorito.- Ao confirmar a exploração da falha de segurança pelos hackers, a Twillo informou que “não há evidências de que os agentes obtiveram acesso aos sistemas da Twilio ou a outros dados confidenciais”. Apesar de as contas Authy não terem sido comprometidas diretamente, os números de telefone obtidos pelos hackers podem ser utilizados em ataques de phishing e smishing — o que exige atenção dos usuários. Esses ataques consistem no envio de mensagens de texto fraudulentas que se passam por comunicações oficiais do Authy ou da Twilio, com o objetivo de enganar os usuários para obter informações pessoais ou credenciais de acesso. Authy é um serviço de autenticação de dois fatores disponível para Android e iOS (Imagem: Divulgação/Authy) “Sabemos que a segurança dos nossos sistemas é uma parte importante para ganhar e manter a sua confiança. Pedimos sinceras desculpas por isso ter acontecido”, declarou a Twilio em nota oficial. Além de atualizar os aplicativos, a Twilio recomenda que os usuários configurem suas contas para bloquear transferências de números sem fornecer uma senha e fiquem alertas para possíveis ataques de phishing por SMS que tentam roubar dados sensíveis. Veja também como se proteger do golpe da portabilidade que pode ser explorado por criminosos a partir de números de telefone vazados. Leia a matéria no Canaltech. Trending no Canaltech: Sinais de Alzheimer podem estar na forma como conversamos Pesquisadores identificam falha crítica que expõe sistemas Linux Paracetamol pode induzir a comportamento de risco; entenda AstraZeneca "admite" efeito colateral raro de vacina da covid-19 Rival do Twitter, Koo anuncia encerramento das atividades Galaxy Watch 7 e Ultra vazam por completo com especificações e preços
admin
Em uma recente falha de segurança, hackers conseguiram explorar uma vulnerabilidade no Authy, serviço de autenticação de dois fatores pertencente à Twilio, para coletar números de telefone de milhões de usuários. A empresa confirmou o incidente em comunicado nesta última segunda-feira (1º), após detectar que os invasores acessaram dados relacionados a contas Authy através de um endpoint não autenticado.
A Twilio informou que identificou a falha e já tomou medidas para impedir que novas solicitações não autenticadas sejam processadas. Em nota, a companhia pede que todos os usuários atualizem o aplicativo do serviço para a última versão disponível para Android e iOS, que incluem atualizações de segurança importantes.
Vulnerabilidade no Authy
A vulnerabilidade permitiu que os hackers consultassem, sem necessidade de autenticação, os números de telefone associados a contas Authy— o que possibilitou a coleta de 33 milhões de números de celulares de usuários do serviço.
-
CT no Flipboard: você já pode assinar gratuitamente as revistas Canaltech no Flipboard do iOS e Android e acompanhar todas as notícias em seu agregador de notícias favorito.
-
Ao confirmar a exploração da falha de segurança pelos hackers, a Twillo informou que “não há evidências de que os agentes obtiveram acesso aos sistemas da Twilio ou a outros dados confidenciais”.
Apesar de as contas Authy não terem sido comprometidas diretamente, os números de telefone obtidos pelos hackers podem ser utilizados em ataques de phishing e smishing — o que exige atenção dos usuários.
Esses ataques consistem no envio de mensagens de texto fraudulentas que se passam por comunicações oficiais do Authy ou da Twilio, com o objetivo de enganar os usuários para obter informações pessoais ou credenciais de acesso.
“Sabemos que a segurança dos nossos sistemas é uma parte importante para ganhar e manter a sua confiança. Pedimos sinceras desculpas por isso ter acontecido”, declarou a Twilio em nota oficial.
Além de atualizar os aplicativos, a Twilio recomenda que os usuários configurem suas contas para bloquear transferências de números sem fornecer uma senha e fiquem alertas para possíveis ataques de phishing por SMS que tentam roubar dados sensíveis.
Veja também como se proteger do golpe da portabilidade que pode ser explorado por criminosos a partir de números de telefone vazados.
Leia a matéria no Canaltech.
Trending no Canaltech:
- Sinais de Alzheimer podem estar na forma como conversamos
- Pesquisadores identificam falha crítica que expõe sistemas Linux
- Paracetamol pode induzir a comportamento de risco; entenda
- AstraZeneca "admite" efeito colateral raro de vacina da covid-19
- Rival do Twitter, Koo anuncia encerramento das atividades
- Galaxy Watch 7 e Ultra vazam por completo com especificações e preços
