Authy gehackt, telefoonnummers van 33 miljoen gebruikers gestolen

Wat te weten

• Authy, een authenticatie-app om online accounts te beschermen, werd onlangs gehackt. Vermoedelijk zijn daarbij de telefoonnummers van 33 miljoen gebruikers buitgemaakt.
• Twilio, het bedrijf achter Authy, heeft inmiddels zijn excuses aangeboden en gebruikers gevraagd hun Authy-app bij te werken naar de nieuwste versie.
• Dit volgt een week nadat een hackersgroep beweerde dat ze 33 miljoen telefoonnummers van Twilio hadden gestolen.

Twilio, het bedrijf achter de tweefactorauthenticatie-app Authy, werd onlangs gehackt, waarbij de telefoonnummers van 33 miljoen gebruikers werden gecompromitteerd.

Twilio heeft in een blogpost bevestigd dat “bedreigingsactoren gegevens konden identificeren die waren gekoppeld aan Authy-accounts, waaronder telefoonnummers”. Het bedrijf schreef het probleem toe aan “een niet-geverifieerd eindpunt” en stelde gebruikers gerust dat ze “actie hebben ondernomen om dit eindpunt te beveiligen en niet-geverifieerde verzoeken niet langer toestaan.”

Hoewel Twilio niet specificeerde hoeveel gebruikers er getroffen waren, beweerde een groep hackers die bekendstaat als ShinyHunters vorige week dat ze 33 miljoen telefoonnummers van Twilio hadden gestolen. Pas nadat de hackers het al openbaar hadden gemaakt, werd het bedrijf gedwongen dit debacle te erkennen. Omdat Twilio het nummer niet noemde om de ernst van de situatie onder controle te houden, hebben Authy-gebruikers geen andere optie dan het rondzwevende nummer te accepteren.

Twilio heeft echter bevestigd dat er niets anders is gecompromitteerd: “We hebben geen bewijs gezien dat de dreigingsactoren toegang hebben verkregen tot de systemen van Twilio of andere gevoelige gegevens.”

Niettemin kunnen deze gelekte nummers aanleiding geven tot verschillende phishing scams. Dreigingsactoren kunnen een Authy-gebruiker ertoe bewegen de codes op zijn/haar app te verstrekken. Wanneer er om identificatie wordt gevraagd, kunnen deze aanvallers de lijst met hun telefoonnummers opsommen, waardoor de gebruiker kan denken dat het een Authy-ondersteuningsmedewerker is.

Om dit te voorkomen, heeft Twilio alle gebruikers opgeroepen om extra alert te zijn op de sms’jes die ze ontvangen. Het bedrijf heeft ook Authy-gebruikers opgeroepen om hun Authy Android (v25.1.0) en iOS-app (v26.10) te updaten voor de nieuwste beveiligingsupdates.