Hackers acceden a datos de usuarios de la app Authy debido a un punto final no autenticado.

Twilio ha confirmado que piratas informáticos lograron identificar los números de teléfono de los usuarios de Authy, su aplicación de autenticación de dos factores, después de que un hacker afirmara haber robado 33 millones de números de teléfono de la empresa estadounidense.

Detalles del incidente.

La semana pasada, un hacker conocido como ShinyHunters publicó en un foro de piratería que había hackeado Twilio y obtenido los números de teléfono móvil de 33 millones de usuarios. El martes, Twilio confirmó a TechCrunch que los actores de amenazas pudieron identificar los números de teléfono de los usuarios de Authy debido a un punto final no autenticado en su sistema.

Kari Ramírez, portavoz de Twilio, explicó que la compañía ha tomado medidas para proteger este punto final y ahora no permite solicitudes no autenticadas. Afirmó que no hay evidencia de que los hackers hayan accedido a otros sistemas de Twilio o a datos confidenciales adicionales. Sin embargo, como medida de precaución, Twilio está solicitando a todos los usuarios de Authy que actualicen sus aplicaciones a las últimas versiones para obtener las últimas actualizaciones de seguridad. También alentó a los usuarios a mantenerse alertas frente a posibles ataques de phishing y smishing.

Repercusiones y advertencias.

Twilio publicó una alerta en su sitio web oficial el lunes, incluyendo la declaración de Ramírez. A pesar de que obtener una lista de números de teléfono puede no parecer una violación grave, sigue representando una amenaza significativa. Rachel Tobac, experta en ingeniería social y CEO de SocialProof Security, advirtió que los atacantes podrían usar esta lista para hacerse pasar por Authy o Twilio, aumentando la credibilidad de sus ataques de phishing dirigidos a esos números de teléfono.

Tobac explicó que los hackers ahora pueden dirigirse específicamente a los usuarios de Authy, haciéndose pasar por la aplicación y Twilio para engañarlos con mensajes maliciosos que parecen legítimos. En 2022, Twilio sufrió una violación de datos mayor en la que hackers accedieron a datos de más de 100 clientes y lanzaron una campaña de phishing que resultó en el robo de alrededor de 10.000 credenciales de empleados de al menos 130 empresas. En esa ocasión, los piratas informáticos atacaron a 93 usuarios de Authy y registraron dispositivos adicionales en sus cuentas, permitiendo robar códigos de autenticación de dos factores.