هک Twilio کاربران Authy را در معرض کلاهبرداری های پیامکی قرار می دهد

اگر از Authy استفاده می کنید، فوراً برنامه خود را به روز کنید. Twilio، شرکت پیام رسان صاحب سرویس احراز هویت دو مرحله ای، تایید کرد TechCrunch روز چهارشنبه هکرها به Twilio نفوذ کردند و شماره تلفن همراه 33 میلیون کاربر را به دست آوردند.

Twilio بیانیه‌ای را در وب‌سایت خود منتشر کرد که هک را تأیید کرد. در بیانیه آمده است: «Twilio تشخیص داده است که عوامل تهدید قادر به شناسایی داده‌های مرتبط با حساب‌های Authy، از جمله شماره تلفن‌ها، به دلیل یک نقطه پایانی تأیید نشده بودند. ما برای ایمن کردن این نقطه پایانی اقدام کرده‌ایم و دیگر اجازه درخواست‌های احراز هویت نشده را نمی‌دهیم.»

این شرکت افزود که هیچ مدرکی دال بر دسترسی هکرها به سیستم ها یا داده های حساس Twilio وجود ندارد. اما به‌روزرسانی به آخرین نسخه برنامه‌های iOS و Android (در هر دستگاهی که در حال اجرا هستید) بسیار مهم است زیرا شامل به‌روزرسانی‌های امنیتی جدید است.

Twilio تاکید کرد که حساب‌های Authy در معرض خطر قرار نگرفته‌اند. با این حال، هکرها (و هر کسی که داده‌ها را با آنها به اشتراک می‌گذارند) می‌توانند «از شماره تلفن مرتبط با حساب‌های Authy برای حملات فیشینگ و ضربه زدن استفاده کنند».

اگر با این اصطلاح آشنا نیستید، smishing معادل پیامک فیشینگ است. بنابراین، اگر حساب Authy دارید، در مورد هر گونه متن غیرمنتظره ای که به نظر می رسد از منابع قابل اعتماد، به ویژه Authy یا Twilio آمده است، بسیار محتاط باشید.

ریچل توباک، کارشناس مهندسی اجتماعی و مدیر عامل SocialProof Security، به TechCrunch چه چیزی ممکن است به نظر برسد توباک گفت: «اگر مهاجمان بتوانند فهرستی از شماره تلفن های کاربر را برشمردند، آن مهاجمان می توانند برای آن کاربران وانمود کنند که Authy/Twilio هستند و باورپذیری حمله فیشینگ به آن شماره تلفن افزایش می یابد.

Twilio تاکید کرد: «ما همه کاربران Authy را تشویق می‌کنیم که کوشا باشند و نسبت به متن‌هایی که دریافت می‌کنند آگاهی بیشتری داشته باشند.