Twilio a confirmé qu’un point de terminaison d’API non sécurisé permettait aux auteurs de menaces de vérifier les numéros de téléphone de millions d’utilisateurs d’authentification multifacteur Authy, ce qui les rendait potentiellement vulnérables aux attaques de phishing par SMS et d’échange de cartes SIM.

Authy est une application mobile qui génère des codes d’authentification multifacteur sur les sites Web sur lesquels vous avez activé l’authentification multifacteur.

Fin juin, un acteur de la menace nommé Shiny Hunters a divulgué un fichier texte CSV contenant ce qu’ils prétendent être 33 millions de numéros de téléphone enregistrés auprès du service Authy.

Chasseurs brillants partageant des données Twilio Authy sur un forum de piratage

Le fichier CSV contient 33 420 546 lignes, chacune contenant un identifiant de compte, un numéro de téléphone, une colonne « over_the_top », l’état du compte et le nombre d’appareils.

Twilio a maintenant confirmé à Breachtrace que les auteurs de la menace avaient compilé la liste des numéros de téléphone à l’aide d’un point de terminaison d’API non authentifié.

« Twilio a détecté que les auteurs de menaces étaient en mesure d’identifier les données associées aux comptes Authy, y compris les numéros de téléphone, en raison d’un point de terminaison non authentifié. Nous avons pris des mesures pour sécuriser ce point de terminaison et ne plus autoriser les demandes non authentifiées », a déclaré Twilio à Breachtrace .

« Nous n’avons vu aucune preuve que les auteurs de la menace aient eu accès aux systèmes de Twilio ou à d’autres données sensibles. Par précaution, nous demandons à tous les utilisateurs d’Authy de se mettre à jour vers les dernières applications Android et iOS pour les dernières mises à jour de sécurité et encourageons tous les utilisateurs d’Authy à rester diligents et à avoir une sensibilisation accrue aux attaques de phishing et de smishing. »

Abus d’API non sécurisées
Breachtrace a appris que les données avaient été compilées en alimentant une énorme liste de numéros de téléphone dans le point de terminaison de l’API non sécurisé. Si le numéro était valide, le point de terminaison renverrait des informations sur les comptes associés enregistrés auprès d’Authy.

Maintenant que l’API a été sécurisée, il ne peut plus être abusé pour vérifier si un numéro de téléphone est utilisé avec Authy.

Cette technique est similaire à la façon dont les acteurs de la menace ont abusé d’une API Twitter et d’une API Facebook non sécurisées pour compiler les profils de dizaines de millions d’utilisateurs contenant des informations publiques et non publiques.

Bien que le grattage Authy ne contienne que des numéros de téléphone, ils peuvent toujours être avantageux pour les utilisateurs qui cherchent à mener des attaques par hameçonnage par sms et par échange de cartes SIM pour violer des comptes.

ShinyHunters y fait allusion dans son article, déclarant: « Vous pouvez le rejoindre sur gemini ou Nexo db », suggérant que les acteurs de la menace comparent la liste des numéros de téléphone à ceux divulgués lors de violations présumées de données Gemini et Nexo.

Si des correspondances sont trouvées, les acteurs de la menace pourraient tenter d’effectuer des attaques d’échange de cartes SIM ou des attaques de phishing pour violer les comptes d’échange de crypto-monnaie et voler tous les actifs.

Twilio a maintenant publié une nouvelle mise à jour de sécurité et recommande aux utilisateurs de passer à Authy Android (v25.1.0) et iOS App (v26.1.0), qui inclut des mises à jour de sécurité. On ne sait pas comment cette mise à jour de sécurité aide à protéger les utilisateurs contre les acteurs de la menace utilisant les données récupérées lors d’attaques.

Les utilisateurs Authy doivent également s’assurer que leurs comptes mobiles sont configurés pour bloquer les transferts de numéros sans fournir de mot de passe ni désactiver les protections de sécurité.

De plus, les utilisateurs d’Authy doivent être à l’affût d’attaques potentielles de phishing par SMS qui tentent de voler des données plus sensibles, telles que des mots de passe.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *