“
La aplicación Authy de Twilio para iOS y Android, diseñada para facilitar a los usuarios la solicitud de autenticación de dos factores (2FA) al iniciar sesión en una aplicación, irónicamente ha sido hackeada, lo que resultó en el robo de números de teléfono de clientes. En una publicación en el blog, Authy escribió: “Twilio ha detectado que actores malintencionados pudieron identificar datos asociados con cuentas de Authy, incluidos números de teléfono, debido a un punto final no autenticado. Hemos tomado medidas para asegurar este punto final y ya no permitimos solicitudes no autenticadas.”
Twilio solicita que todos los usuarios de Authy actualicen a las últimas versiones de la aplicación en iOS o Android para instalar las últimas actualizaciones de seguridad. Twilio agrega: “Si bien las cuentas de Authy no están comprometidas, los actores malintencionados podrían intentar usar el número de teléfono asociado con las cuentas de Authy para ataques de phishing y smishing; alentamos a todos los usuarios de Authy a permanecer atentos y tener una mayor conciencia sobre los textos que están recibiendo.”
La autenticación de dos factores (2FA) requiere el uso de una segunda capa de protección al iniciar sesión en una aplicación. Por ejemplo, después de iniciar sesión en una aplicación, recibes un SMS en tu teléfono que contiene un código que debes ingresar para abrir la aplicación. Esto evita que un atacante abra una de tus aplicaciones, acceda a tu cuenta, cambie tu contraseña y te robe. En este momento, Twilio dice que los datos de cliente robados en el hackeo se limitaron a números de teléfono.
Necesitas proporcionar tu número de teléfono al abrir una cuenta con Authy.
Twilio culpa al uso de “puntos finales no autenticados” por el hackeo exitoso y señala que ha tomado medidas para asegurar este punto final y “ya no permite solicitudes no autenticadas”. Un informe de medios sitúa en 33 millones el número de números de teléfono robados. En un conocido foro de hacking, los hackers conocidos como ShinyHunters admitieron haber hackeado Twilio y haber robado 33 millones de números de teléfono.
Aunque el robo de números de teléfono no debería necesariamente asustar a los usuarios de Authy, los atacantes podrían usar estos números para llamar o enviar mensajes de texto a los suscriptores de Authy victimizados. Los atacantes podrían hacerse pasar por Authy y buscar otra información de los usuarios, incluidos números de seguridad social, números de cuenta bancaria y otros datos personales sensibles. Ten cuidado al recibir una llamada o mensaje de texto que supuestamente proviene de Twilio o Authy y no reveles ningún dato personal, por muy insistente que sea el llamante o el mensaje.
Y este hackeo no tiene nada que ver con si 2FA funciona para proteger tus datos personales. Si te gusta 2FA como medida disuasoria, no dejes de usarla porque Authy ha sido atacado.
“