Domov Novinky Aplikácia na generovanie 2FA kódov hacknutá

Aplikácia na generovanie 2FA kódov hacknutá

Zdielať

Vývojár aplikácie potvrdil únik, mohlo uniknúť až 33 miliónov telefónnych čísel.

Základom bezpečnosti na internete je okrem používania dlhého, silného a unikátneho hesla aj overenie druhým faktorom. Všade, kde je to možné. Aj keď to spôsobuje diskomfort, výrazne to zvyšuje bezpečnosť kont (nielen) na internete, nakoľko získanie prístupu cudzej osoby k citlivým kontám ako na sociálnej sieti či v banke narobí veľa problémov.

Druhý faktor sa odporúča aj preto, že heslo, nech je akokoľvek silné, sa dá odchytiť tzv. keyloggerom alebo môže, na rozdiel od passkeys, uniknúť z nedostatočne zabezpečenej databázy. Jednou z populárnych aplikácií na generovanie jednorázových kódov je aj Authy. Jej vývojár, Twilio, potvrdil slová neznámeho hackera, že boli cieľom úspešného kybernetického útoku.

Hacker sa „pochválil“ že získal prístup k 33 miliónom telefónnych čísel, Twilio samotný však množstvo napadnutých kont nešpecifikoval. Spoločnosť uvádza, že útočníci získali údaje súvisiace s používateľskými kontami vďaka neoverenému koncovému bodu, a prijali kroky k jeho zabezpečeniu a už neumožňujú neautorizované požiadavky. Útočníci sa zrejme nedostali do systému firmy, a ani k citlivým dátam.

Vývojár aplikácie vyzýva k opatrnosti a k aktualizovaniu aplikácie na jej najnovšiu verziu z Google Play a App Store. Aj keď kontá samotné nie sú kompromitované, používatelia by mali byť zvlášť opatrní v prípade doručenia textových správ na ich telefónne číslo. Útočník totiž okrem telefónneho čísla vie, že daný používateľ používa 2FA a to konkrétne Authy, a je tu vysoké riziko pokusu o phishing. Môže to zneužiť napr. na falošnú výzvu na „resetovanie 2FA autentifikácie“ alebo tvrdiť, že je priamo z Twilio.

Podľa správ ide o toho istého hackera alebo skupinu hackerov, ktorý odcudzil vyše 10-tisíc firemných loginov vo viacerých spoločnostiach. Phishingový útok taktiež nedávno spôsobil únik dát z banky Evolve, ktorý následne spôsobil únik osobných údajov z finančných firiem ako Wise. Podobný problém nedávno zažila izraelský AU10TIX, z ktorej unikli dáta z identifikačných dokumentov ako vodičské preukazy a pasy.

Jej služby využívajú alebo využívali giganti ako PayPal, Coinbase, X, TikTok, Uber, LinkedIn, Upwork a Fiverr, napríklad na overenie finančných transakcií, veku alebo na obnovu kont so strateným prístupom kde zlyhali všetky ostatné metódy. Aj keď spoločnosť síce tvrdí že k úniku dát v skutočnosti nedošlo, vzhľadom už len k tomu že prihlasovacie údaje a iné potrebné dáta boli v hackerských skupinách na Telegrame vyše roka a celý čas fungovali, je toto tvrdenie veľmi otázne.

1, 2