Authy a été piraté, les numéros de téléphone de 33 millions d’utilisateurs ont été volés

Ce qu’il faut savoir

• Authy, une application d’authentification pour protéger les comptes en ligne, a récemment été piratée, et les numéros de téléphone de 33 millions d’utilisateurs auraient été compromis.
• Twilio, la société derrière Authy, a depuis présenté ses excuses et demandé aux utilisateurs de mettre à jour leur application Authy vers la dernière version.
• Cela survient une semaine après qu’un groupe de pirates informatiques a affirmé avoir volé 33 millions de numéros de téléphone à Twilio.

Twilio, la société à l’origine de l’application d’authentification à deux facteurs Authy, a récemment été piratée et les numéros de téléphone de 33 millions d’utilisateurs ont été compromis.

Twilio a confirmé dans un article de blog que « les acteurs malveillants ont pu identifier les données associées aux comptes Authy, y compris les numéros de téléphone ». L’entreprise a attribué le problème à « un point de terminaison non authentifié » et a rassuré les utilisateurs en leur disant qu’elle « a pris des mesures pour sécuriser ce point de terminaison et ne plus autoriser les demandes non authentifiées ».

Bien que Twilio n’ait pas précisé le nombre d’utilisateurs concernés, un groupe de hackers connu sous le nom de ShinyHunters a affirmé la semaine dernière avoir volé 33 millions de numéros de téléphone à Twilio. Ce n’est qu’après que les hackers ont rendu l’affaire publique que l’entreprise a été obligée de reconnaître cette débâcle. Comme Twilio n’a pas mentionné le nombre pour garder la gravité de la situation sous contrôle, les utilisateurs d’Authy n’ont pas d’autre choix que d’accepter le nombre qui circule.

Cependant, Twilio a confirmé que rien d’autre n’avait été compromis : « Nous n’avons vu aucune preuve que les acteurs de la menace aient obtenu l’accès aux systèmes de Twilio ou à d’autres données sensibles. »

Néanmoins, ces numéros divulgués pourraient déclencher plusieurs escroqueries par phishing. Les acteurs malveillants pourraient inciter un utilisateur d’Authy à divulguer les codes de son application. Lorsqu’on leur demande de s’identifier, ces attaquants pourraient énumérer la liste de leurs numéros de téléphone, ce qui pourrait faire croire à l’utilisateur qu’il s’agit d’un membre du personnel d’assistance d’Authy.

Pour éviter cela, Twilio a appelé tous les utilisateurs à être plus vigilants quant aux messages qu’ils reçoivent. La société a également demandé aux utilisateurs d’Authy de mettre à jour leur application Authy Android (v25.1.0) et iOS (v26.10) pour les dernières mises à jour de sécurité.