Le géant de la messagerie Twilio a confirmé qu’un point de terminaison d’API vulnérable permettait aux « acteurs menaçants » de vérifier les numéros de téléphone de nombreux utilisateurs d’authentification multifacteur Authy. La semaine dernière, un acteur malveillant connu sous le nom de ShinyHunters a divulgué un fichier CSV contenant ce qu’il prétend être 33 millions de numéros de téléphone liés à Authy, comme l’a rapporté TechCrunch.
« Twilio a détecté que les acteurs malveillants étaient capables d’identifier les données associées aux comptes Authy, y compris les numéros de téléphone, grâce à un point de terminaison non authentifié. » a informé Twilio dans un article de blog. « Nous n’avons vu aucune preuve que les acteurs malveillants ont obtenu l’accès aux systèmes de Twilio ou à d’autres données sensibles. Par mesure de précaution, nous demandons à tous les utilisateurs d’Authy de mettre à jour les dernières applications Android et iOS pour obtenir les dernières mises à jour de sécurité et encourageons tous les utilisateurs d’Authy à rester diligents et à être davantage conscients des attaques de phishing et de smishing.
Twilio a reconnu que la violation exploitait un point de terminaison d’API vulnérable, ce qui l’a incité à le désactiver et à améliorer sa sécurité. Il a conseillé aux utilisateurs de mettre à jour leur application Authy iOS depuis l’App Store et de contacter l’assistance Twilio s’ils ne parviennent pas à accéder à leurs comptes. Attention, l’application de bureau d’Authy n’existe plus et elle n’est disponible que sur iOS et Android.
Plus important encore, cela fait suite à une violation de données survenue en 2022, au cours de laquelle une campagne de phishing a incité les employés à révéler leurs informations de connexion et les attaquants ont piraté plus de 163 comptes Twilio.
Il semble que les violations de données soient devenues de plus en plus courantes ces derniers temps. ArsTechnica a également signalé qu’environ trois millions d’applications iPhone et Mac sont actuellement menacées.
