Vývojár aplikácie potvrdil únik, mohlo uniknúť až 33 miliónov telefónnych čísel.
Základom bezpečnosti na internete je okrem používania dlhého, silného a unikátneho hesla aj overenie druhým faktorom. Všade, kde je to možné. Aj keď to spôsobuje diskomfort, výrazne to zvyšuje bezpečnosť kont (nielen) na internete, nakoľko získanie prístupu cudzej osoby k citlivým kontám ako na sociálnej sieti či v banke narobí veľa problémov.
Druhý faktor sa odporúča aj preto, že heslo, nech je akokoľvek silné, sa dá odchytiť tzv. keyloggerom alebo môže, na rozdiel od passkeys, uniknúť z nedostatočne zabezpečenej databázy. Jednou z populárnych aplikácií na generovanie jednorázových kódov je aj Authy. Jej vývojár, Twilio, potvrdil slová neznámeho hackera, že boli cieľom úspešného kybernetického útoku.
Hacker sa „pochválil“ že získal prístup k 33 miliónom telefónnych čísel, Twilio samotný však množstvo napadnutých kont nešpecifikoval. Spoločnosť uvádza, že útočníci získali údaje súvisiace s používateľskými kontami vďaka neoverenému koncovému bodu, a prijali kroky k jeho zabezpečeniu a už neumožňujú neautorizované požiadavky. Útočníci sa zrejme nedostali do systému firmy, a ani k citlivým dátam.
Vývojár aplikácie vyzýva k opatrnosti a k aktualizovaniu aplikácie na jej najnovšiu verziu z Google Play a App Store. Aj keď kontá samotné nie sú kompromitované, používatelia by mali byť zvlášť opatrní v prípade doručenia textových správ na ich telefónne číslo. Útočník totiž okrem telefónneho čísla vie, že daný používateľ používa 2FA a to konkrétne Authy, a je tu vysoké riziko pokusu o phishing. Môže to zneužiť napr. na falošnú výzvu na „resetovanie 2FA autentifikácie“ alebo tvrdiť, že je priamo z Twilio.
Podľa správ ide o toho istého hackera alebo skupinu hackerov, ktorý odcudzil vyše 10-tisíc firemných loginov vo viacerých spoločnostiach. Phishingový útok taktiež nedávno spôsobil únik dát z banky Evolve, ktorý následne spôsobil únik osobných údajov z finančných firiem ako Wise. Podobný problém nedávno zažila izraelský AU10TIX, z ktorej unikli dáta z identifikačných dokumentov ako vodičské preukazy a pasy.
Jej služby využívajú alebo využívali giganti ako PayPal, Coinbase, X, TikTok, Uber, LinkedIn, Upwork a Fiverr, napríklad na overenie finančných transakcií, veku alebo na obnovu kont so strateným prístupom kde zlyhali všetky ostatné metódy. Aj keď spoločnosť síce tvrdí že k úniku dát v skutočnosti nedošlo, vzhľadom už len k tomu že prihlasovacie údaje a iné potrebné dáta boli v hackerských skupinách na Telegrame vyše roka a celý čas fungovali, je toto tvrdenie veľmi otázne.