Twilio mengatakan seseorang telah mendapatkan nomor telepon yang terkait dengan layanan otentikasi dua faktor (2FA)-nya, Authy, seperti yang dilaporkan sebelumnya oleh TechCrunch. Dalam peringatan keamanan pada hari Senin, Twilio memperingatkan bahwa “pelaku ancaman” mungkin mencoba menggunakan nomor telepon yang dicuri untuk melakukan serangan phishing dan penipuan lainnya.
Insiden ini mengikuti pelanggaran data 2022 yang terjadi setelah kampanye phishing berhasil memperdaya karyawan untuk mengungkapkan kredensial login mereka. Para penyerang mengakses data dari 163 akun Twilio dan berhasil mengakses serta mendaftarkan perangkat tambahan pada 93 akun Authy.
Twilio melacak kebocoran ini kembali ke “titik akhir yang tidak terotentikasi” yang sejak itu diamankan. Minggu lalu, pelaku ancaman ShinyHunters mempublikasikan daftar 33 juta nomor telepon dari akun Authy di dark web. Seperti yang ditunjukkan oleh BleepingComputer, pelaku ancaman tersebut tampaknya telah memperoleh informasi dengan memasukkan daftar besar nomor telepon ke titik akhir API tidak aman Authy, yang kemudian akan memverifikasi apakah nomor tersebut terkait dengan aplikasi tersebut.
“Kami mendorong semua pengguna Authy untuk tetap waspada dan memiliki kesadaran yang lebih tinggi seputar pesan yang mereka terima,” tulis Twilio. Twilio menambahkan bahwa “tidak ada bukti bahwa pelaku ancaman memperoleh akses ke sistem Twilio atau data sensitif lainnya” dan bahwa akun Authy tidak dikompromikan. Twilio menyarankan pengguna untuk memperbarui aplikasi Authy mereka di Android dan iOS (aplikasi desktop Authy telah dihentikan).