Złośliwym aktorom udało się ukraść ponad 33 miliony numerów telefonów używanych przez użytkowników usługi uwierzytelniania dwuskładnikowego Authy.
Authy to popularna aplikacja zabezpieczająca do zarządzania kodami uwierzytelniającymi dla aplikacji i usług online. Zwiększają one bezpieczeństwo logowania, ponieważ kody należy wprowadzić w drugim etapie uwierzytelniania.
Oto najważniejsze punkty:
- Osoba zagrażająca ujawniła plik tekstowy CSV zawierający 33 miliony numerów telefonów klientów Authy.
- Lista została uzyskana poprzez niewłaściwie zabezpieczony punkt końcowy API.
- Osoba atakująca podała API dużą liczbę numerów telefonów, aby dowiedzieć się, które z nich są znane systemowi Authy.
- Osoby atakujące mogą wykorzystywać numery telefonów w atakach typu phishing poprzez SMS lub wymianę karty SIM.
Twilio, firma-matka Authy, potwierdziła autentyczność danych i włamaniePiszczący Komputer.
Firma ujawniła, że zabezpieczyła punkt końcowy wykorzystany w ataku. Ponadto jako środek ostrożności wydała aktualizację dla Androida i iOS.
Co mogą zrobić użytkownicy, których to dotyczy
Klienci Authy nie mogą sprawdzić, czy ich numer telefonu znalazł się w wycieku. Nie ma bezpośredniego zagrożenia, ponieważ przestępcy nie mogą nic zrobić, korzystając wyłącznie z numeru telefonu.
Możliwe są jednak ataki:
- Ataki SMS-oweaby nakłonić użytkowników do udostępniania kodów uwierzytelniających lub pobierania złośliwego oprogramowania na swoje urządzenia.
- Ataki polegające na zmianie karty SIM, które wymagają dodatkowych danych osobowych. Dotyczą one operatora komórkowego ofiary.
Osoby atakujące mogą skorzystać z wyszukiwarek internetowych lub innych baz danych, aby powiązać numery telefonów z ich właścicielami.
Dane w Authy są w tym momencie bezpieczne. Nie jest to jednak pierwszy przypadek. W 2022 r. Twilio potwierdziło, że doszło do naruszenia bezpieczeństwa danych.
Jeśli przypomina Ci to LastPass, usługę zarządzania hasłami, która w ciągu ostatnich kilku lat ucierpiała z powodu serii włamań i problemów, nie mylisz się całkowicie.
Migracja z Authy do innej usługi
Migracja nie jest prosta, ponieważ Authy nie obsługuje eksportu. Aobejścieistnieje, który korzysta ze starszej wersji aplikacji komputerowej, ale może wkrótce przestać działać, ponieważ Authy wycofuje program komputerowy.
Jedyną inną opcją jest ręczna migracja danych. Obejmuje to następujące kroki:
- Zaloguj się do usługi, dla której generowane są kody w Authy.
- Wyłącz 2FA w preferencjach.
- Włącz ponownie 2FA, tym razem korzystając z nowej aplikacji uwierzytelniającej.
Powtórz te kroki dla dowolnej usługi i usuń każdą z nich po zakończeniu migracji. Odbywa się to poprzez długie dotknięcie elementu w Authy i wybranie opcji usuwania.
Jeśli chodzi o alternatywy, sprawdź moje recenzje uwierzytelniacza open source Aegis lub Bitwarden Authenticator.
Końcowe słowa
Czy zaufać usłudze, która w przeszłości doświadczyła kilku naruszeń, czy też przejść do usługi, która tego nie doświadczyła. Klienci LastPass wielokrotnie w przeszłości napotykali to samo pytanie i jest to to samo pytanie, które powinni sobie zadać klienci Authy.
To, czy migrujesz, czy nie, zależy od Ciebie. Jest to niewygodne ze względu na brak odpowiednich opcji eksportu.
Czy korzystasz z aplikacji uwierzytelniających? Jeśli tak, jaki jest obecnie Twój ulubiony?
Przeczytaj więcej:Jak ustawić inny dzwonek dla dwóch różnych numerów telefonów na iPhonie w systemie iOS 17