La semana pasada, un hacker afirmó haber robado 33 millones de números de teléfono del gigante estadounidense de mensajería Twilio. El martes, Twilio confirmó a TechCrunch que los «actores de amenazas» pudieron identificar los números de teléfono de las personas que usan Authy, una popular aplicación de autenticación de dos factores propiedad de Twilio.
En una publicación en un famoso foro de piratería, un hacker llamado ShinyHunters escribió que piratearon Twilio y obtuvieron los números de teléfono celular de 33 millones de usuarios.
La portavoz de Twilio, Kari Ramirez, dijo a TechCrunch que la compañía «descubrió que los actores de amenazas pudieron acceder a datos de identificación asociados con cuentas Authy, incluidos números de teléfono, debido a un punto final no autenticado. Hemos asegurado este punto final y ya no lo haremos». permitir solicitudes no autenticadas.»
«No hemos encontrado evidencia de que los actores de amenazas hayan accedido a los sistemas de Twilio u otros datos confidenciales. Como medida de precaución, instamos a todos los usuarios de Authy a actualizar a las últimas aplicaciones de Android e iOS para obtener las últimas actualizaciones de seguridad y alentamos a todos los usuarios de Authy a permanecer». estar alerta y crear conciencia sobre los ataques de phishing y smishing”, escribió Ramírez en un correo electrónico.
twilio también publicó una advertencia La misma declaración se publicó en el sitio web oficial de la compañía el lunes.
Aunque obtener listas de números de teléfono –en sí mismo– puede no parecer la más peligrosa de las violaciones de datos, aún puede representar una amenaza para los propietarios de esos números.
«Si los atacantes pueden crear una lista de los números de teléfono de un usuario, esos atacantes pueden pretender ser Authy/Twilio para esos usuarios, permitiéndoles acceder a ese número de teléfono», Rachel Toback, experta en ingeniería social y directora ejecutiva de SocialProof Security, dijo a TechCrunch. El número aumenta la credibilidad de un ataque de phishing».
Toback explicó que los piratas informáticos ahora pueden apuntar específicamente a personas que saben que son usuarios de Authy, dándoles a los atacantes la oportunidad de hacer que parezca que sus mensajes maliciosos realmente provienen de Authy y Twilio Are.
En 2022, Twilio sufrió una importante filtración de datos cuando un grupo de piratas informáticos obtuvo acceso a los datos de más de 100 clientes de la empresa. Armados con esa información, los piratas informáticos lanzaron una campaña de phishing generalizada que resultó en el robo de aproximadamente 10.000 credenciales de empleados de al menos 130 empresas. Como parte de esa violación en ese momento, Twilio dijo que los piratas informáticos atacaron con éxito a 93 usuarios individuales de Authy y pudieron registrar dispositivos adicionales en las cuentas de Authy de esas víctimas, lo que les permitió robar los códigos reales de dos factores.
