Authyがハッキングされ、3,300万人のユーザーの電話番号が盗まれる

知っておくべきこと

• オンラインアカウントを保護するための認証アプリ「Authy」が最近ハッキングされ、3,300万人のユーザーの電話番号が漏洩した疑いがある。
• Authy の開発元である Twilio はその後謝罪し、ユーザーに Authy アプリを最新バージョンに更新するよう求めた。
• これは、ハッカー集団がTwilioから3,300万件の電話番号を盗んだと主張してから1週間後のことだ。

2要素認証アプリAuthyを開発するTwilio社が最近ハッキングされ、3,300万人のユーザーの電話番号が漏洩した。

Twilio はブログ投稿で「脅威アクターは電話番号を含む Authy アカウントに関連付けられたデータを特定できた」と認めた。同社はこの問題を「認証されていないエンドポイント」に起因するものとし、「このエンドポイントを保護する措置を講じ、認証されていないリクエストを許可しないようにした」とユーザーを安心させた。

Twilio は影響を受けたユーザー数を明らかにしていないが、ShinyHunters として知られるハッカー集団は先週、Twilio から 3,300 万の電話番号を盗んだと主張した。ハッカーがすでに公表した後で、同社はこの大失態を認めざるを得なくなった。Twilio は事態の深刻さを抑えるためにその数を明かさなかったため、Authy ユーザーは出回っている番号を受け入れるしか選択肢がない。

しかし、Twilio は他には何も侵害されていないことを確認しています。「脅威の攻撃者が Twilio のシステムやその他の機密データにアクセスしたという証拠は確認されていません。」

それでも、これらの漏洩した番号は、いくつかのフィッシング詐欺を引き起こす可能性があります。脅威アクターは、Authy ユーザーにアプリのコードを渡させる可能性があります。身元確認を求められた場合、これらの攻撃者は電話番号のリストを列挙し、ユーザーにそれが Authy サポートスタッフであると信じ込ませる可能性があります。

これを防ぐために、Twilio はすべてのユーザーに対し、受信するテキストメッセージに対する注意を高めるよう呼びかけています。また、同社は Authy ユーザーに対し、Authy Android (v25.1.0)およびiOS アプリ (v26.10)を最新のセキュリティ アップデートに更新するよう呼びかけています。