Popularna aplikacja zaatakowana przez hakerów – Authy to popularna aplikacja do tak zwanego uwierzytelniania dwuskładnikowego. Oprócz hasła, do logowania wymagane są również kody generowane przez aplikację. Użytkownicy, aby się zalogować, muszą wpisać także wygenerowany kod, który ważny jest tylko przez krótki czas. Authy to nie jedyna aplikacja udostępniająca taką możliwość, jednak to właśnie ona padła ofiarą ataku hakerów. Firma przekazała, że atakujący ukradli miliony numerów telefonów pochodzących od użytkowników z całego świata. (Dalsza treść artykułu poniżej)
Popularna aplikacja zaatakowana przez hakerów
Authy nie jest jedyną aplikacją, która może generować kody dwuskładnikowe. Aby się zalogować, użytkownicy, oprócz wpisywania hasła, muszą także podać kod, który jest ważny tylko przez krótki czas. Pochodzi on z aplikacji Authy lub z alternatyw, takich jak Google Authenticator lub Microsoft Authenticator. Systemy Authy miały jednak lukę w zabezpieczeniach. Atakujący byli w stanie uzyskać dostęp do numerów telefonów komórkowych użytkowników Authy za pośrednictwem nieodpowiednio zabezpieczonego interfejsu. Dokładna liczba nie została oficjalnie potwierdzona. Jednak numery telefonów komórkowych są już oferowane do sprzedaży w Internecie i mówi się o 33 milionach rekordów danych – podaje CHIP.de.
Czytaj także: Oszuści mają nowy sposób: Kradną konta WhatsApp, gdy ich właściciele śpią
Co powinni zrobić użytkownicy?
Twilio, firma stojąca za Authy, potwierdziła, że atakujący skompilowali listę numerów telefonów za pomocą nieuwierzytelnionego punktu końcowego API. Podejrzewa się, że luka została już naprawiona, więc nieuwierzytelnione żądania nie są już możliwe. Niemniej jednak wszyscy użytkownicy Authy powinni korzystać z najnowszej aplikacji na Androida (wersja 25.1.1) lub iOS (wersja 26.1.0) i zachować czujność. Chociaż uwierzytelniania dwuskładnikowego nie można obejść przy użyciu samego numeru telefonu komórkowego, istnieją inne zagrożenia.
Skradzione numery telefonów komórkowych mogą zostać wykorzystane na przykład do ataków phishingowych. Należy więc uważać na rzekome powiadomienia o przesyłkach lub inne sztuczki, które często są próbowane za pośrednictwem wiadomości SMS.