(https://i.postimg.cc/V6v5Vf45/phone-numbers.png) (https://postimg.cc/nj8Hstyt)
Twilio ha confirmado que un punto final API no seguro permitió a los actores de amenazas verificar los números de teléfono de millones de usuarios de autenticación multifactor Authy, haciéndolos potencialmente vulnerables a ataques de phishing por SMS y de intercambio de SIM.
Authy es una aplicación móvil que genera códigos de autenticación multifactor en sitios web donde tiene habilitado MFA.
A finales de junio, un actor de amenazas llamado ShinyHunters filtró un archivo de texto CSV que contiene lo que, según afirma, son 33 millones de números de teléfono registrados en el servicio Authy.
ShinyHunters comparte datos de Twilio Authy en un foro de piratería
(https://i.postimg.cc/zvRvqxsr/Shiny-Hunters-sharing-Twilio-Authy-data-on-a-hacking-forum.png) (https://postimg.cc/ct00mB19)
El archivo CSV contiene 33.420.546 filas, cada una de las cuales contiene un ID de cuenta, un número de teléfono, una columna "over_the_top", el estado de la cuenta y el recuento de dispositivos.
Twilio ahora ha confirmado a BleepingComputer que los actores de amenazas compilaron la lista de números de teléfono utilizando un punto final API no autenticado.
"Twilio ha detectado que los actores de amenazas pudieron identificar datos asociados con cuentas Authy, incluidos números de teléfono, debido a un punto final no autenticado. Hemos tomado medidas para proteger este punto final y ya no permitiremos solicitudes no autenticadas", dijo Twilio a BleepingComputer.
"No hemos visto evidencia de que los actores de amenazas hayan obtenido acceso a los sistemas de Twilio u otros datos confidenciales. Como precaución, solicitamos a todos los usuarios de Authy que actualicen a las últimas aplicaciones de Android e iOS para obtener las últimas actualizaciones de seguridad y alentamos a todos los usuarios de Authy a manténgase diligente y tenga mayor conciencia sobre los ataques de phishing y smishing".
En 2022, Twilio reveló que sufrió infracciones en junio y agosto que permitieron a los actores de amenazas violar su infraestructura y acceder a la información de los clientes de Authy.
Abusar de API no seguras
BleepingComputer se enteró de que los datos se compilaron ingresando una lista masiva de números de teléfono en el punto final API no seguro. Si el número fuera válido, el punto final devolvería información sobre las cuentas asociadas registradas con Authy.
Ahora que se ha protegido la API, ya no se puede abusar de ella para verificar si un número de teléfono se utiliza con Authy.
Esta técnica es similar a cómo los actores de amenazas abusaron de una API de Twitter y una API de Facebook no seguras para compilar perfiles de decenas de millones de usuarios que contienen información tanto pública como no pública.
Si bien el scrape de Authy solo contenía números de teléfono, aún puede ser ventajoso para los usuarios que buscan realizar ataques de smishing y de intercambio de SIM para violar cuentas.
ShinyHunters alude a esto en su publicación, afirmando: "Ustedes pueden unirse en gemini o Nexo db", sugiriendo que los actores de amenazas comparen la lista de números de teléfono con los filtrados en supuestas violaciones de datos de Gemini y Nexo.
Si se encuentran coincidencias, los actores de amenazas podrían intentar realizar ataques de intercambio de SIM o ataques de phishing para violar las cuentas de intercambio de criptomonedas y robar todos los activos.
Twilio ha lanzado una nueva actualización de seguridad y recomienda que los usuarios actualicen a Authy Android (v25.1.0) y la aplicación iOS (v26.1.0), que incluye actualizaciones de seguridad. No está claro cómo esta actualización de seguridad ayuda a proteger a los usuarios de los actores de amenazas que utilizan los datos extraídos en los ataques.
Los usuarios de Authy también deben asegurarse de que sus cuentas móviles estén configuradas para bloquear las transferencias de números sin proporcionar un código de acceso ni desactivar las protecciones de seguridad.
Además, los usuarios de Authy deben estar atentos a posibles ataques de phishing por SMS que intenten robar datos más confidenciales, como contraseñas.
En lo que parece ser una violación no relacionada, Twilio también comenzó a enviar notificaciones de violación de datos después de que un depósito AWS S3 no seguro de un proveedor externo expusiera datos relacionados con SMS enviados a través de la empresa.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/hackers-abused-api-to-verify-millions-of-authy-mfa-phone-numbers/