Resumo
- Authy é um aplicativo 2FA que sofreu recentemente uma violação de dados que expôs mais de 33 milhões de números de telefone.
- Um ponto de extremidade de API não seguro permitiu que agentes de ameaças coletassem números vinculados.
- Se você acha que suas informações pessoais podem estar entre os 33 milhões de números vazados, considere proteger suas contas com 2FA e tenha cuidado com ataques de phishing por SMS.
Authy é um aplicativo que oferece autenticação de dois fatores, permitindo que os usuários mantenham suas contas online seguras. Semelhante às senhas de uso único, Authy gera códigos 2FA que são atualizados a cada 20 segundos e são armazenados na nuvem, evitando que os usuários percam o acesso aos seus códigos caso percam o telefone.
O aplicativo é gratuito e funciona em todas as plataformas, incluindo Android, iOS, macOS, Windows e Linux. A única mancha em sua reputação é uma violação de segurança em 2022 que afetou sua empresa controladora, a Twillio, que vazou informações sobre 75 milhões de usuários, embora apenas 93 usuários do Authy tenham sido alvos. Agora, uma nova violação de segurança que afeta o aplicativo 2FA supostamente deu aos agentes de ameaças acesso a 33 milhões de números de telefone registrados no aplicativo.
Relacionado
O Authy foi hackeado, veja como se proteger
Um dos aplicativos 2FA mais confiáveis sofreu uma violação, afetando alguns indivíduos azarados
A Twilio lançou uma atualização para seu aplicativo Android e iOS, juntamente com um comunicado à imprensa em 1º de julho, sugerindo que havia “detectado que agentes de ameaças conseguiram identificar dados associados a contas Authy, incluindo números de telefone, devido a um endpoint não autenticado”. As atualizações do aplicativo serviram como precaução para os usuários, dando a eles acesso às últimas atualizações de segurança do aplicativo.
O culpado aqui foi um endpoint de API não seguro que permitiu que os agentes da ameaça verificassem e coletassem números vinculados ao Authy. Os agentes da ameaça foram supostamente capazes de alimentar a API não segura com uma grande lista de números de telefone, e o endpoint retornou apenas os números vinculados ao Authy, juntamente com outras informações da conta.
Fonte: Bleeping Computers
De acordo com um relatório do Bleeping Computer, um agente de ameaças chamado ShinyHunters foi associado à violação, pois vazou um arquivo contendo mais de 33 milhões de números de telefone vinculados ao Authy, conforme sugerido na captura de tela acima.
Os dados vazados também incluíam IDs de conta, juntamente com detalhes sobre o status da conta e outros dispositivos vinculados. Vale a pena notar que nenhuma senha foi vazada, mas os números de telefone vazados e as informações do dispositivo vinculado são suficientes para que outros agentes de ameaças tenham como alvo clientes Authy com ataques sofisticados de phishing por SMS.
Aqui está o que você pode fazer como um usuário Authy existente
Relacionado
Como se proteger de um ataque de troca de SIM
Os riscos nunca são zero, mas você pode minimizá-los
Com acesso ao seu número de telefone, potenciais agentes de ameaças podem alvejá-lo com ataques de phishing por SMS ou tentar uma troca de SIM. Este último é essencialmente um método ilegal em que um agente de ameaças convence sua operadora a transferir seu número de telefone para um cartão SIM diferente, tudo isso enquanto se passa por você. Para convencer a operadora, o agente de ameaças pode compartilhar suas informações pessoais, que podem ser encontradas nas redes sociais ou compradas no mercado negro por meio de vazamentos como o do Authy.
Para evitar se tornar uma vítima de troca de SIM, você pode bloquear seu SIM com uma senha que deve ser inserida sempre que reiniciar seu dispositivo, ou bloquear seu número de telefone diretamente com sua operadora.
Em outro lugar, se você acha que suas informações pessoais podem estar entre os 33 milhões de números vazados, apenas fique atento a mensagens SMS suspeitas e garanta que todas as suas mídias sociais, bancos ou outros aplicativos sensíveis sejam protegidos por 2FA e não autenticados por meio de uma mensagem de texto. Você também deve atualizar o aplicativo Authy. Atualizar o aplicativo não faria muita diferença agora, mas protegerá você se um agente de ameaça tentar violar o ponto de extremidade de API não seguro novamente.
Relacionado
Os 5 melhores aplicativos 2FA para Android
Ajudando você a proteger sua vida online