黑客滥用API端点验证了数百万个Authy MFA电话号码

文章预览

近日，Twilio 称发现了一个不安全的 API 端点，允许威胁行为者非法验证数百万 Authy 多因素身份验证用户的电话号码，这可能导致他们收到短信钓鱼，同时还可能会遭遇 SIM 卡交换攻击。 Authy 是一款移动应用程序，可在启用了 MFA 的网站上生成多因素验证码。 6 月底，一个名为 ShinyHunters 的威胁行为者泄露了一个 CSV 文本文件，其中包含他们在 Authy 服务注册的 3300 万个电话号码。 ShinyHunters 在黑客论坛上分享 Twilio Authy 数据来源：BleepingComputer CSV 文件包含 33420546 行内容，每一行都包含账户 ID、电话号码、「over_the_top」列、账户状态和设备数量。 Twilio 表示，有威胁分子使用了一个未经验证的 API 端点编译了电话号码列表。目前，Twilio 检测到由于使用了未经身份验证的端点，威胁行为者能够识别与 Authy 账户相关的数据，包括电话号码。Twilio 现已采取措 ………………………………