Twilio confirme qu’un hacker a divulgué les numéros de téléphone de 33 millions d’utilisateurs d’Authy

 (securityweek.com)
3 points par GN⁺ 2024-07-05 | 2 commentaires | Partager sur WhatsApp
  • Le groupe de hackers tristement célèbre ShinyHunters a annoncé sur le site BreachForums la fuite de 33 millions de numéros de téléphone aléatoires liés à Authy, l’application 2FA de Twilio
  • Les informations divulguées incluent également des identifiants de compte et certaines données non personnelles
  • Twilio a confirmé la fuite de données en publiant une alerte de sécurité sur son site web
  • « Twilio a détecté un acteur malveillant qui a pu identifier des données associées à des comptes Authy via un endpoint non authentifié. Nous avons pris des mesures pour sécuriser cet endpoint et il n’accepte plus de requêtes non authentifiées », a déclaré l’entreprise
  • Twilio indique ne disposer d’aucune preuve d’un accès du hacker à ses systèmes ni de l’obtention d’autres données sensibles, mais recommande par précaution aux utilisateurs d’Authy d’installer les dernières mises à jour de sécurité Android et iOS
  • « Les comptes Authy n’ont pas été compromis, mais comme l’acteur malveillant pourrait utiliser les numéros de téléphone associés aux comptes Authy pour des attaques de phishing et de smishing, nous recommandons à tous les utilisateurs d’Authy de rester vigilants et prudents face aux SMS qu’ils reçoivent », a ajouté Twilio

L’avis de GN⁺

  • L’incident de fuite de données chez Twilio souligne l’importance des endpoints non authentifiés. Il montre à quel point il est essentiel de maintenir des endpoints sécurisés
  • Les utilisateurs d’Authy doivent renforcer leur vigilance face aux attaques de phishing et de smishing. La fuite des numéros de téléphone pourrait favoriser une hausse de ces attaques
  • Twilio a réagi rapidement pour sécuriser l’endpoint, mais les autres entreprises doivent elles aussi se préparer à des situations similaires. Les mesures préventives sont essentielles
  • Les activités de groupes de hackers comme ShinyHunters continuent d’augmenter. Les entreprises doivent vérifier et renforcer en continu leur posture de sécurité
  • Parmi les autres applications de sécurité offrant des fonctions similaires figurent Google Authenticator et Microsoft Authenticator. Les utilisateurs peuvent envisager différentes options

À lire aussi

2 commentaires

 
carnoxen 2024-07-12

https://gist.github.com/gboudreau/94bb0c11a6209c82418d01a59d958c93

Comment extraire les données d'Authy
 
GN⁺ 2024-07-05
Avis Hacker News

  • Mon numéro de téléphone a été inclus dans plusieurs fuites de données, ce qui a augmenté le spam

    • Le réseau téléphonique traditionnel risque de disparaître comme le fax à cause du problème de spam
    • Même pour les appels avec la famille, j’utilise FaceTime, Zoom, Meet, etc.
    • Je ne me souviens pas du dernier appel légitime passé via le réseau téléphonique traditionnel
    • Ces plateformes ajouteront probablement de la publicité une fois qu’elles auront totalement capté le marché
    • Il suffit de voir comment Gmail a monétisé l’e-mail

  • Il est absurde qu’Authy exige un numéro de téléphone portable et une adresse e-mail

    • Je n’ai pas besoin de synchronisation cloud ni de sauvegarde
    • Stocker des informations utilisateur dans le cloud en fait une cible d’attaque
    • Cela va à l’encontre de l’esprit du 2FA

  • Twilio impose Authy pour le 2FA de SendGrid et de Twilio lui-même

    • Le 2FA standardisé n’est pas pris en charge, donc impossible d’utiliser 1Password
    • J’ai été forcé d’utiliser Authy et j’ai quand même eu des problèmes
    • Twilio ne devrait pas imposer sa solution maison aux utilisateurs

  • Beaucoup d’organisations et d’entreprises demandent des informations personnelles dès le premier contact, ce qui est agaçant

    • Même les prestataires de santé envoient les données des clients par e-mail en texte clair
    • Ils prétendent aussi détenir le droit d’auteur sur les documents qui fournissent les résultats médicaux
    • Les gens mettent de très bonnes notes à ces services, mais en réalité ne lisent pas les conditions d’utilisation

  • J’ai découvert une vulnérabilité d’exposition d’informations sur l’endpoint d’inscription des utilisateurs

    • À partir du numéro de téléphone d’un utilisateur Authy, on pouvait consulter d’autres numéros, appareils, horodatages, adresses e-mail, etc.
    • Il a fallu 2 ans pour corriger ce problème

  • J’utilise l’app iOS d’Authy pour générer des jetons 2FA, mais je ne me souviens pas avoir saisi mon numéro de téléphone

    • Je vérifie s’il s’agit d’un problème propre au client iOS, ou si seuls les utilisateurs ayant créé un compte en ligne sont concernés

  • Twilio a pu identifier des données liées aux comptes Authy à cause d’un endpoint non authentifié

    • Cet endpoint a été sécurisé et n’accepte plus de requêtes non authentifiées
    • Pour éviter ce genre de problème dans sa propre app, il faut imposer l’authentification sur toutes les requêtes et appliquer une sécurité au niveau des lignes
    • On peut détecter ce type de problème avec un framework de test

  • Si vous n’utilisez pas le schéma d’authentification personnalisé d’Authy, c’est le moment d’exporter vos données

    • Les jetons TOTP bruts ne peuvent être exportés que depuis la version desktop
    • Après avoir chargé les jetons dans l’app desktop, il faut rétrograder vers une ancienne version puis exécuter une fonction JavaScript

  • Sur iPhone, si on active le mode Ne pas déranger, tous les appels sont envoyés vers la messagerie vocale

    • Seuls les appels répétés des contacts d’urgence, des favoris et des personnes dans le focus 1by1 sonnent
    • Sur Android, le même réglage ne fonctionne pas
    • En portant son numéro vers Google Voice ou Fi, on peut filtrer les appels spam

  • J’ai créé ente.io/auth

    • À regarder si vous avez besoin d’un authenticator multiplateforme
    • FOSS, avec sauvegarde e2ee optionnelle