Twilio xác nhận hacker làm rò rỉ dữ liệu số điện thoại của 33 triệu người dùng Authy

 (securityweek.com)
3 điểm bởi GN⁺ 2024-07-05 | 2 bình luận | Chia sẻ qua WhatsApp
  • Nhóm hacker khét tiếng ShinyHunters đã thông báo trên trang web BreachForums rằng họ làm rò rỉ 33 triệu số điện thoại ngẫu nhiên liên quan đến Authy, ứng dụng 2FA của Twilio
  • Thông tin bị rò rỉ cũng bao gồm ID tài khoản và một số dữ liệu không mang tính cá nhân
  • Twilio đã đăng cảnh báo bảo mật trên trang web để xác nhận vụ rò rỉ dữ liệu
  • Công ty cho biết: "Twilio đã phát hiện tác nhân đe dọa có thể nhận diện dữ liệu liên quan đến các tài khoản Authy thông qua một endpoint chưa được xác thực. Chúng tôi đã thực hiện các biện pháp để bảo vệ endpoint này và không còn cho phép các yêu cầu chưa được xác thực nữa"
  • Twilio cho biết không có bằng chứng cho thấy hacker đã truy cập hệ thống hoặc chiếm được dữ liệu nhạy cảm khác, nhưng như một biện pháp phòng ngừa, công ty khuyến nghị người dùng Authy cài đặt các bản cập nhật bảo mật Android và iOS mới nhất
  • Twilio nói: "Mặc dù các tài khoản Authy không bị xâm phạm, tác nhân đe dọa có thể sử dụng các số điện thoại liên kết với tài khoản Authy cho các cuộc tấn công phishing và smishing, vì vậy chúng tôi khuyến nghị mọi người dùng Authy luôn cảnh giác và thận trọng với mọi tin nhắn văn bản nhận được"

Ý kiến của GN⁺

  • Vụ rò rỉ dữ liệu của Twilio nhấn mạnh tầm quan trọng của các endpoint chưa được xác thực. Điều này cho thấy việc duy trì các endpoint an toàn quan trọng đến mức nào
  • Người dùng Authy cần nâng cao cảnh giác trước các cuộc tấn công phishing và smishing. Việc rò rỉ số điện thoại có thể khiến các hình thức tấn công này gia tăng
  • Twilio đã phản ứng nhanh để bảo vệ endpoint, nhưng các công ty khác cũng cần chuẩn bị cho những tình huống tương tự. Các biện pháp phòng ngừa là rất quan trọng
  • Hoạt động của các nhóm hacker như ShinyHunters đang tiếp tục gia tăng. Doanh nghiệp cần liên tục kiểm tra và củng cố trạng thái bảo mật của mình
  • Các ứng dụng bảo mật khác cung cấp chức năng tương tự gồm có Google Authenticator, Microsoft Authenticator, v.v. Người dùng có thể cân nhắc nhiều lựa chọn khác nhau

Bài viết liên quan

2 bình luận

 
carnoxen 2024-07-12

https://gist.github.com/gboudreau/94bb0c11a6209c82418d01a59d958c93

Cách trích xuất dữ liệu trong Authy
 
GN⁺ 2024-07-05
Ý kiến trên Hacker News

  • Số điện thoại của tôi đã xuất hiện trong nhiều vụ rò rỉ dữ liệu nên spam tăng hẳn

    • Mạng điện thoại truyền thống có nguy cơ biến mất như fax vì vấn nạn spam
    • Ngay cả gọi cho gia đình tôi cũng dùng FaceTime, Zoom, Meet, v.v.
    • Tôi không nhớ lần gần nhất có một cuộc gọi hợp pháp nào qua mạng điện thoại truyền thống
    • Các nền tảng này có thể sẽ thêm quảng cáo một khi đã chiếm lĩnh hoàn toàn thị trường
    • Chỉ cần nhìn cách Gmail kiếm tiền từ email là đủ thấy

  • Việc Authy yêu cầu cả số điện thoại di động lẫn địa chỉ email là vô lý

    • Không cần đồng bộ đám mây hay sao lưu
    • Lưu thông tin người dùng trên đám mây có thể trở thành mục tiêu tấn công
    • Điều này đi ngược lại tinh thần của 2FA

  • Twilio yêu cầu Authy cho 2FA của SendGrid và chính Twilio

    • Không hỗ trợ 2FA chuẩn hóa nên không thể dùng 1Password
    • Dù bị ép dùng Authy nhưng vấn đề vẫn xảy ra
    • Twilio không nên ép người dùng vào một giải pháp tùy biến riêng

  • Nhiều tổ chức và doanh nghiệp khiến người ta khó chịu vì đòi thông tin cá nhân ngay từ lần tiếp xúc đầu tiên

    • Ngay cả nhà cung cấp dịch vụ y tế cũng gửi dữ liệu khách hàng qua email văn bản thuần túy
    • Họ còn tuyên bố bản quyền các tài liệu cung cấp kết quả y tế thuộc về họ
    • Mọi người chấm điểm cao cho các dịch vụ này, nhưng thực tế lại không đọc điều khoản sử dụng

  • Đã phát hiện một lỗ hổng lộ thông tin ở endpoint đăng ký người dùng

    • Thông qua số điện thoại của người dùng Authy, có thể tra ra các số khác, thiết bị, dấu thời gian, địa chỉ email, v.v.
    • Mất 2 năm mới khắc phục được vấn đề này

  • Tôi dùng ứng dụng iOS của Authy để tạo token 2FA nhưng không nhớ đã từng nhập số điện thoại

    • Đang kiểm tra xem đây là vấn đề của chính ứng dụng khách iOS hay chỉ ảnh hưởng tới những người đã tạo tài khoản trực tuyến

  • Twilio có thể xác định dữ liệu liên quan đến tài khoản Authy do một endpoint không được xác thực

    • Endpoint này đã được siết bảo mật để không còn chấp nhận các yêu cầu không xác thực nữa
    • Để tránh vấn đề như vậy trong ứng dụng của mình, cần bắt buộc xác thực với mọi yêu cầu và áp dụng bảo mật ở mức hàng
    • Có thể dùng framework kiểm thử để phát hiện các vấn đề kiểu này

  • Nếu không dùng cơ chế xác thực tùy biến của Authy thì đây là lúc xuất dữ liệu ra

    • Chỉ có thể xuất raw totp token từ bản desktop
    • Sau khi tải token vào ứng dụng desktop, phải hạ xuống phiên bản cũ hơn để chạy hàm JavaScript

  • Trên iPhone, nếu bật chế độ Không làm phiền thì mọi cuộc gọi sẽ bị chuyển vào hộp thư thoại

    • Chỉ các cuộc gọi lặp lại từ liên hệ khẩn cấp, mục yêu thích và những người trong chế độ tập trung 1by1 mới đổ chuông
    • Trên Android, cùng thiết lập đó lại không hoạt động
    • Nếu chuyển số điện thoại sang Google Voice hoặc Fi thì có thể lọc cuộc gọi spam

  • Tôi đã xây dựng ente.io/auth

    • Nếu cần một trình xác thực đa nền tảng thì có thể thử xem
    • FOSS, có sao lưu e2ee tùy chọn