هک گسترده سرویس احراز هویت Authy شماره تلفن 33 میلیون مشتری را فاش کرد

از گروه هکری ShinyHunters به‌عنوان مسئول این حمله یاد شده و آن‌ها فایل حاوی شماره‌های سرقت‌شده را در یک انجمن آنلاین منتشر کرده‌اند.

Twilio که مالک برنامه احراز هویت دو مرحله‌ای Authy است، به‌تازگی از هک سرویس خود خبر داده است. در این اتفاق 33 میلیون شماره تلفن مرتبط با Authy افشا شده است.

در اولین روزهای ماه ژوئیه، Twilio با انتشار یک پست وبلاگی به نقض امنیتی خود اشاره کرد که توسط یک «نقطه پایانی (Endpoint) تأیید‌نشده» ایجاد شده است. با این نقض، هکرها به داد‌های مرتبط با حساب‌های Authy دسترسی پیدا کرده‌اند. طبق این پست، درحالی‌که رمز عبور، داده‌های احراز هویت دو مرحله‌ای یا دیگر جزئیات حساس در معرض خطر این هک قرار نگرفته‌اند، اما شماره تلفن حساب‌های مرتبط با Authy سرقت شده است.

گروه مسئول هک Authy

از گروه هکری ShinyHunters به‌عنوان مسئول این حمله سایبری یاد شده است. همچنین آن‌ها فایل حاوی شماره تلفن‌های سرقت‌شده را در یک انجمن آنلاین منتشر کرده‌اند که این امر خطر حملات فیشینگ و تعویض سیم‌کارت را افزایش می‌دهد.

Twilio از آن زمان آسیب‌پذیری خود را برطرف کرده است و به کاربران این اطمینان را داده که هکرها به هیچ سیستم یا داده حساس دیگری دسترسی پیدا نکرده‌اند. همچنین از کاربران خواسته‌شده تا برای افزایش امنیت، آخرین نسخه برنامه Authy را دریافت کنند.

این شرکت در بیانیه خود، تعهدش نسبت به امنیت و شفافیت را به‌روشنی ابراز کرده و می‌گوید:

«معتقد هستیم که امنیت محصولات و داده‌های مشتریان ما از اهمیت زیادی برخوردار است و زمانی که حادثه‌ای رخ می‌دهد که ممکن است این امنیت را تهدید کند، ما در مورد آن به شما اطلاع می‌دهیم.»

تیم امنیت Twilio همچنان درحال بررسی وضعیت است و در صورت لزوم اطلاعیه‌های جدیدی ارائه می‌کند.