Eine Situation bei Authy hat dazu geführt, dass die Telefonnummern von 33 Millionen Nutzer:innen der beliebten 2FA-Sicherheitsapp in die Hände von Angreifer:innen gelangt sind. Diese Entwicklung erhöht das Risiko von Phishing-Angriffen erheblich.
Twilio bestätigt den Vorfall
Twilio, der Entwickler von Authy, hat den Sicherheitsvorfall bestätigt und fordert die Nutzer:innen auf, zwei wichtige Vorsichtsmaßnahmen zu treffen. Bei der Zwei-Faktor-Authentifizierung (2FA) wird bei der Anmeldung zusätzlich zu den Anmeldedaten ein einmaliges Passwort abgefragt, das von einer App generiert wird. Authy ist eine der beliebtesten 2FA-Apps im App Store.
Ein:e Hacker:in behauptete letzte Woche, die Telefonnummern von 33 Millionen Authy-Nutzer:innen erbeutet zu haben. Twilio hat dies nun bestätigt, ohne die genaue Anzahl der betroffenen Konten zu nennen. Die Bedrohungsakteure konnten Daten im Zusammenhang mit Authy-Konten, einschließlich Telefonnummern, aufgrund eines nicht authentifizierten Endpunkts identifizieren. Twilio hat Maßnahmen ergriffen, um diesen Endpunkt zu sichern und erlaubt keine nicht authentifizierten Anfragen mehr. Es gibt keine Hinweise darauf, dass die Angreifer:innen Zugriff auf Twilios Systeme oder andere sensible Daten erhalten haben.
Maßnahmen und Vorsichtsmaßnahmen
Der Entwickler fordert alle Nutzer:innen auf, die neueste Version der App zu installieren und aufmerksam auf verdächtige Textnachrichten zu reagieren.
“Als Vorsichtsmaßnahme bitten wir alle Authy-Nutzer:innen, die neuesten Android- und iOS-Apps zu aktualisieren, um die neuesten Sicherheitsupdates zu erhalten. Auch wenn Authy-Konten nicht kompromittiert wurden, könnten Bedrohungsakteure die Telefonnummern der Authy-Konten für Phishing- und Smishing-Angriffe nutzen. Wir empfehlen allen Authy-Nutzer:innen, wachsam zu bleiben und ein erhöhtes Bewusstsein für die empfangenen Nachrichten zu entwickeln.”
Die größte Gefahr besteht darin, dass ein:e Angreifer:in nun drei Dinge über Dich weiß:
- Deine Telefonnummer
- Dass Du 2FA verwendest
- Dass Du speziell Authy nutzt
Diese Informationen können genutzt werden, um überzeugende Texte zu erstellen, die beispielsweise vorgeben, von einem Deiner Dienste zu stammen und ein Problem mit der Zwei-Faktor-Authentifizierung melden oder behaupten, von Twilio zu sein.
Hintergrund und weitere Risiken
TechCrunch berichtet, dass derselbe Hacker hinter einer Phishing-Kampagne stecken soll, bei der die Anmeldedaten von rund 10.000 Mitarbeiter:innen verschiedener Unternehmen gestohlen wurden. Ein Phishing-Angriff war auch die Ursache für den Evolve-Datenverstoß, bei dem wahrscheinlich sensible persönliche Informationen von Kund:innen von Wise und anderen Fintech-Unternehmen kompromittiert wurden.
Dies ist das zweite Mal in den letzten Wochen, dass eine Sicherheitslücke bei einem Cybersicherheitsunternehmen aufgetreten ist, nachdem die Foto-IDs eines Identitätsverifizierungsdienstes, der von vielen Tech-Giganten genutzt wird, offengelegt wurden. Ein Angriff auf den Entwickler einer 2FA-App steht ebenfalls weit oben auf der Liste der Unternehmen, die man nicht gehackt sehen möchte.
Update und Anmerkung der Redaktion: Twilio hat uns darauf aufmerksam gemacht, dass es sich nicht um einen “Hack” handelt und wir diese Begriffe aus dem Titel und dem Text entfernen sollen. Außerdem hat man uns folgendes Statement geschickt:
Twilio hat festgestellt, dass unbekannte Personen aufgrund eines nicht authentifizierten Endpunkts in der Lage waren, Daten in Verbindung mit Authy-Konten, einschließlich Telefonnummern, zu identifizieren. Wir haben Maßnahmen ergriffen, um diesen Endpunkt zu sichern und lassen keine unauthentifizierten Anfragen mehr zu. Wir haben keine Hinweise darauf, dass die unbekannten Täter in die Systeme von Twilio eingedrungen sind oder sich Zugang zu den Systemen von Twilio oder anderen sensiblen internen Daten verschafft haben. Als Vorsichtsmaßnahme empfehlen wir alle Authy-Benutzer, die neuesten Sicherheitsupdates für Android- und iOS-Apps zu installieren, und raten allen Authy-Benutzern, auf Phishing- und Smishing-Attacken zu achten und ein erhöhtes Bewusstsein zu haben.
Wir verstehen die Ansicht von Twilio, dass es sich nicht um einen “Hack” im eigentlichen Sinne handelt. Man kann hier durchaus unterschiedlicher Ansicht sein. Wenn man auf Nutzer:innen-Daten zugreift (über welche Weise auch immer!), kann das auch durchaus als Hack bezeichnet werden. Wir haben aber entschieden, die Worte im Text und der Überschrift zu entfernen.
Quelle: 9To5Mac