Authy 해킹, 3300만 명의 사용자 전화번호 도난

알아야 할 사항

• 온라인 계정을 보호하는 인증 앱인 Authy가 최근 해킹을 당했으며, 3,300만 명의 사용자의 전화번호가 유출된 것으로 의심됩니다.
• Authy를 만든 회사인 Twilio는 이후 사과문을 발표하고 사용자들에게 Authy 앱을 최신 버전으로 업데이트하도록 요청했습니다.
• 이는 해커 그룹이 Twilio에서 전화번호 3,300만 개를 훔쳤다고 주장한 지 일주일 만에 나온 조치입니다.

2단계 인증 앱 Authy를 만든 회사인 Twilio가 최근 해킹을 당해 3,300만 명의 사용자의 전화번호가 유출되었습니다.

Twilio는 블로그 게시물 에서 “위협 행위자들이 전화번호를 포함한 Authy 계정과 관련된 데이터를 식별할 수 있었다”고 확인했습니다 . 이 회사는 문제를 “인증되지 않은 엔드포인트”에 기인했으며, 사용자들에게 “이 엔드포인트를 보호하기 위한 조치를 취했으며 더 이상 인증되지 않은 요청을 허용하지 않는다”고 안심시켰습니다.

Twilio는 영향을 받은 사용자 수를 구체적으로 밝히지 않았지만, ShinyHunters라는 해커 그룹은 지난주 Twilio에서 3,300만 개의 전화번호를 훔쳤다고 주장했습니다. 해커들이 이미 대중에 알린 후에야 회사는 이 참사를 인정할 수밖에 없었습니다. Twilio가 상황의 심각성을 통제하기 위해 번호를 언급하지 않았기 때문에 Authy 사용자는 떠도는 번호를 받아들이는 것 외에는 다른 선택의 여지가 없습니다.

하지만 Twilio는 다른 것은 손상되지 않았다고 확인했습니다. “위협 행위자가 Twilio의 시스템이나 기타 민감한 데이터에 액세스했다는 증거는 확인되지 않았습니다.”

그럼에도 불구하고, 유출된 번호는 여러 피싱 사기를 촉발할 수 있습니다. 위협 행위자는 Authy 사용자가 자신의 앱에 있는 코드를 포기하도록 만들 수 있습니다. 식별을 요청받으면 이러한 공격자는 전화번호 목록을 열거할 수 있으며, 사용자는 이를 통해 Authy 지원 직원이라고 믿을 수 있습니다.

이를 방지하기 위해 Twilio는 모든 사용자에게 수신하는 문자 메시지에 대한 인식을 높일 것을 촉구했습니다. 이 회사는 또한 Authy 사용자에게 최신 보안 업데이트를 위해 Authy Android(v25.1.0) 및 iOS 앱(v26.10)을 업데이트할 것을 촉구했습니다 .