A Twilio sofreu um ataque hacker e números de telefone de 33 milhões de usuários do aplicativo Authy foram roubados. As primeiras notícias da falha de segurança surgiram na semana passada e foram confirmadas pela empresa nesta quinta-feira (4).
Segundo um porta-voz da Twilio, agentes mal-intencionados identificaram dados associados a contas do app, incluindo números de telefone, a partir de um endpoint sem autenticação. A companhia tomou medidas para barrar requisições não autorizadas.
O Authy é um aplicativo para gerar códigos usados na autenticação de dois fatores, que servem para garantir que a pessoa que sabe a senha é realmente a dona daquela conta. A Twilio, responsável pelo app, diz não ter encontrado evidências de acessos a seus sistemas ou outros dados sensíveis.
Números do Authy podem ser usados em golpes
Mesmo que as contas não tenham sido comprometidas e os códigos estejam a salvo, como parece ser o caso, os números de telefone podem ser usados em golpes. Como se sabe que estas pessoas usam o Authy, criminosos podem mandar mensagens fingindo ser o aplicativo ou a Twilio.
Outra possibilidade: o golpista envia uma mensagem se passando por um serviço popular (Gmail ou Facebook, por exemplo), inventa um problema no Authy (afinal, ele sabe que a vítima usa) e pede para o usuário resetar o 2FA, mas indica um link malicioso.
A Twilio sabe disso. Por isso, a empresa pede que os usuários fiquem atentos e tomem cuidado com tentativas de phishing por SMS ou aplicativos de mensagem. Em seu site, a empresa também recomenda atualizar os aplicativos de Android e iOS para receber os updates de segurança mais recentes.
Esta não é a primeira vez que o Authy passa por um incidente de cibersegurança. Em 2022, hackers conseguiram acessar 93 contas de usuários do serviço e registrar novos dispositivos, ganhando acesso aos códigos de 2FA.
Com informações: TechCrunch, 9to5Mac