Twilio、ハッカーがAuthyユーザー3,300万人分の電話番号データを流出させたことを確認

 (securityweek.com)
3 ポイント 投稿者 GN⁺ 2024-07-05 | 2件のコメント | WhatsAppで共有
  • 悪名高いハッカーグループ ShinyHunters が、BreachForums のWebサイトで、Twilio の2FAアプリ Authy に関連するランダムな電話番号3,300万件を流出させると発表
  • 流出した情報には、アカウントIDと一部の非個人データも含まれる
  • Twilio はWebサイトにセキュリティ警告を掲載し、データ流出を確認
  • 「Twilio は、認証されていないエンドポイントを通じて Authy アカウントに関連するデータを特定できた脅威アクターを検知しました。当社はこのエンドポイントを保護するための措置を講じており、現在は認証されていないリクエストを許可していません」と同社は述べた
  • Twilio は、ハッカーがシステムにアクセスしたり、他の機密データを取得した証拠はないとしているが、予防措置として Authy ユーザーに最新の Android および iOS のセキュリティアップデートをインストールするよう推奨
  • 「Authy アカウント自体は侵害されていませんが、脅威アクターが Authy アカウントに関連する電話番号をフィッシングやスミッシング攻撃に利用する可能性があるため、すべての Authy ユーザーに対し、受信するSMSについて警戒し注意を払うよう推奨します」と Twilio は述べた

GN⁺の見解

  • Twilio のデータ流出事件は、認証されていないエンドポイントの重要性を強調している。安全なエンドポイントを維持することがいかに重要かを示している
  • Authy ユーザーは、フィッシングやスミッシング攻撃への警戒を強める必要がある。電話番号の流出により、こうした攻撃が増える可能性がある
  • Twilio は迅速に対応してエンドポイントを保護したが、他の企業も同様の状況に備える必要がある。予防措置が重要だ
  • ShinyHunters のようなハッカーグループの活動は引き続き増加している。企業は継続的にセキュリティ態勢を点検し、強化しなければならない
  • 類似機能を提供する他のセキュリティアプリには、Google Authenticator や Microsoft Authenticator などがある。ユーザーはさまざまな選択肢を検討できる

関連記事

2件のコメント

 
carnoxen 2024-07-12

https://gist.github.com/gboudreau/94bb0c11a6209c82418d01a59d958c93

Authy 内のデータを抽出する方法
 
GN⁺ 2024-07-05
Hacker Newsのコメント

  • 自分の電話番号が複数のデータ漏えいに含まれていて、スパムがかなり増えた

    • 従来の電話ネットワークは、スパム問題のせいでファックスのように消えていく危険がある
    • 家族との通話にも FaceTime、Zoom、Meet などを使っている
    • 従来の電話ネットワーク経由で合法的な通話をした記憶がない
    • こうしたプラットフォームは市場を完全に支配したら広告を追加する可能性がある
    • Gmail がメールで収益化した例を見ればわかる

  • Authy が携帯電話番号とメールアドレスを要求するのは不合理だ

    • クラウド同期やバックアップは必要ない
    • ユーザー情報をクラウドに保存することは攻撃対象になり得る
    • これは 2FA の精神に反している

  • Twilio は SendGrid と Twilio 自身の 2FA のために Authy を要求する

    • 標準化された 2FA をサポートしていないため 1Password を使えない
    • Authy の使用を強いられたのに、それでも問題が発生した
    • Twilio はユーザーに独自ソリューションを押し付けるべきではない

  • 多くの組織や企業が、最初の接触時に個人情報を要求することに不満を感じている

    • 医療サービス提供者でさえ、クライアントデータを平文メールで送信している
    • 医療結果を提供する文書の著作権は自分たちにあると主張している
    • 人々はこうしたサービスに高評価を付けるが、実際には利用規約を読んでいない

  • ユーザー登録エンドポイントで情報露出の脆弱性を発見した

    • Authy ユーザーの電話番号を通じて、別の番号、端末、タイムスタンプ、メールアドレスなどを照会できた
    • この問題の解決には 2 年かかった

  • Authy の iOS アプリを使って 2FA トークンを生成しているが、電話番号を入力した記憶がない

    • iOS クライアントアプリ自体の問題なのか、オンラインアカウントを作成したユーザーだけが影響を受けるのか確認中だ

  • Twilio は未認証のエンドポイントにより Authy アカウントに関連するデータを特定できていた

    • このエンドポイントは保護され、今では未認証リクエストを受け付けなくなっている
    • 自分のアプリでこうした問題を避けるには、すべてのリクエストで認証を強制し、行レベルセキュリティを適用すべきだ
    • テストフレームワークを使ってこの種の問題を検出できる

  • Authy のカスタム認証スキームを使っていないなら、今がデータをエクスポートするタイミングだ

    • raw totp トークンはデスクトップ版でしかエクスポートできない
    • デスクトップアプリにトークンを読み込んだ後、旧バージョンにダウングレードして JavaScript 関数を実行する必要がある

  • iPhone でおやすみモードを設定すると、すべての通話がボイスメールに送られる

    • 緊急連絡先、お気に入り、1by1 フォーカスに入っている人からの繰り返し着信だけが鳴る
    • Android では同じ設定は機能しない
    • 電話番号を Google Voice や Fi にポーティングすれば、スパム通話をフィルタリングできる

  • ente.io/auth を作った

    • クロスプラットフォームの認証アプリが必要なら見てみるとよい
    • FOSS、オプションの e2ee バックアップを提供