Twilio که مالک برنامه احراز هویت دو مرحلهای Authy است، بهتازگی از هک سرویس خود خبر داده است. در این اتفاق 33 میلیون شماره تلفن مرتبط با Authy افشا شده است.
در اولین روزهای ماه ژوئیه، Twilio با انتشار یک پست وبلاگی به نقض امنیتی خود اشاره کرد که توسط یک «نقطه پایانی (Endpoint) تأییدنشده» ایجاد شده است. با این نقض، هکرها به دادهای مرتبط با حسابهای Authy دسترسی پیدا کردهاند. طبق این پست، درحالیکه رمز عبور، دادههای احراز هویت دو مرحلهای یا دیگر جزئیات حساس در معرض خطر این هک قرار نگرفتهاند، اما شماره تلفن حسابهای مرتبط با Authy سرقت شده است.
از گروه هکری ShinyHunters بهعنوان مسئول این حمله سایبری یاد شده است. همچنین آنها فایل حاوی شماره تلفنهای سرقتشده را در یک انجمن آنلاین منتشر کردهاند که این امر خطر حملات فیشینگ و تعویض سیمکارت را افزایش میدهد.
Twilio از آن زمان آسیبپذیری خود را برطرف کرده است و به کاربران این اطمینان را داده که هکرها به هیچ سیستم یا داده حساس دیگری دسترسی پیدا نکردهاند. همچنین از کاربران خواستهشده تا برای افزایش امنیت، آخرین نسخه برنامه Authy را دریافت کنند.
این شرکت در بیانیه خود، تعهدش نسبت به امنیت و شفافیت را بهروشنی ابراز کرده و میگوید:
«معتقد هستیم که امنیت محصولات و دادههای مشتریان ما از اهمیت زیادی برخوردار است و زمانی که حادثهای رخ میدهد که ممکن است این امنیت را تهدید کند، ما در مورد آن به شما اطلاع میدهیم.»
تیم امنیت Twilio همچنان درحال بررسی وضعیت است و در صورت لزوم اطلاعیههای جدیدی ارائه میکند.
