Authy wurde gehackt, Telefonnummern von 33 Millionen Benutzern gestohlen

Was Sie wissen sollten

• Authy, eine Authentifizierungs-App zum Schutz von Online-Konten, wurde kürzlich gehackt und es besteht der Verdacht, dass die Telefonnummern von 33 Millionen Benutzern kompromittiert wurden.
• Twilio, das Unternehmen hinter Authy, hat sich inzwischen entschuldigt und die Benutzer aufgefordert, ihre Authy-App auf die neueste Version zu aktualisieren.
• Dies geschah eine Woche, nachdem eine Hackergruppe behauptete, sie hätte 33 Millionen Telefonnummern von Twilio gestohlen.

Twilio, das Unternehmen hinter der Zwei-Faktor-Authentifizierungs-App Authy, wurde kürzlich gehackt und die Telefonnummern von 33 Millionen Benutzern wurden kompromittiert.

Twilio hat in einem Blogbeitrag bestätigt, dass „Bedrohungsakteure in der Lage waren, mit Authy-Konten verknüpfte Daten, darunter Telefonnummern, zu identifizieren“. Das Unternehmen führte das Problem auf „einen nicht authentifizierten Endpunkt“ zurück und beruhigte die Benutzer, indem es „Maßnahmen ergriffen hat, um diesen Endpunkt zu sichern und nicht authentifizierte Anfragen nicht mehr zuzulassen“.

Obwohl Twilio nicht spezifizierte, wie viele Benutzer betroffen waren, behauptete eine Gruppe von Hackern, bekannt als ShinyHunters, letzte Woche, 33 Millionen Telefonnummern von Twilio gestohlen zu haben. Erst nachdem die Hacker es bereits öffentlich gemacht hatten, war das Unternehmen gezwungen, dieses Debakel einzugestehen. Da Twilio die Zahl nicht erwähnte, um die Schwere der Situation unter Kontrolle zu halten, haben Authy-Benutzer keine andere Wahl, als die im Umlauf befindliche Zahl zu akzeptieren.

Twilio bestätigte jedoch, dass keine weiteren Angriffe erfolgten: „Wir haben keine Hinweise darauf gesehen, dass die Bedrohungsakteure Zugriff auf die Systeme oder andere sensible Daten von Twilio erhalten haben.“

Dennoch könnten diese durchgesickerten Nummern mehrere Phishing-Betrügereien auslösen. Bedrohungsakteure könnten einen Authy-Benutzer dazu bringen, die Codes für seine App preiszugeben. Wenn diese Angreifer nach einem Ausweis gefragt werden, könnten sie die Liste ihrer Telefonnummern aufzählen, was den Benutzer glauben lassen könnte, es handele sich um einen Authy-Supportmitarbeiter.

Um dies zu verhindern, hat Twilio alle Benutzer dazu aufgerufen, besonders auf die Texte zu achten, die sie erhalten. Das Unternehmen hat Authy-Benutzer außerdem dazu aufgerufen, ihre Authy Android- (v25.1.0) und iOS-App (v26.10) auf die neuesten Sicherheitsupdates zu aktualisieren.