根据 Authy Android 应用程序开发商 Twilio 于 7 月 1 日发布的安全警告,黑客获得了 Authy Android 应用程序数据库的访问权限,并 "能够识别与[账户]相关的数据,包括电话号码"。
帖子称,这些账户本身 "没有受到攻击",这意味着攻击者无法获得身份验证凭据。不过,暴露的电话号码将来可能会被用于 "网络钓鱼和网络诈骗攻击"。鉴于这种风险,Twilio 鼓励 Authy 用户 "保持警惕,提高对所收到短信的认识"。
相关: 什么是加密货币中的网络钓鱼攻击?
集中式交易所用户通常依赖 Authy 进行双因素身份验证 (2FA)。它会在用户的设备上生成一个代码,交易所在执行取款、转账或其他敏感任务前可能会要求用户输入该代码。交易所 Gemini 和 Crypto.com 都使用 Authy 作为默认的 2FA 应用程序,Coinbase、Binance 和许多其他交易所也允许将其作为一个选项。
Authy 有时会与谷歌的 Authenticator 应用程序相提并论,后者的目的与 Authy 相似,也是 Authy 的竞争对手。
帖子称,攻击者通过一个 "未经验证的端点 "获得了访问权限。该团队已经确保了这个端点的安全,今后该应用程序不再接受未经身份验证的请求。该团队鼓励用户升级到包含安全改进的最新版应用程序。
Twilio 声称,用户的验证码没有被泄露,因此攻击者应该无法访问他们的交换账户。"该公司表示:"我们没有看到任何证据表明,威胁者获得了访问 Twilio 系统或其他敏感数据的权限。
根据 Seeking Alpha 的一份报告,此次黑客攻击是由 ShinyHunters 网络犯罪组织实施的,该组织 "泄露了一个文本文件,据称该文件显示了在 Authy 注册的 3300 万个电话号码"。2021 年,网络安全博客 Restoreprivacy 报道称,同样是这个犯罪团伙制造了 AT&T 数据泄露事件,导致 5100 万客户的数据在网上泄露。
开发身份验证器应用程序是为了防止 SIM 卡交换攻击,这是一种社会工程学计划,包括说服电话公司将用户的电话号码转给攻击者。一旦攻击者获得了用户手机账户的控制权,他们就可以利用该账户接收用户的 2FA 密码,而无需实际拥有用户的手机。
这种类型的攻击现在仍然很普遍,因为有些用户仍然通过短信而不是应用程序接收 2FA 代码。6 月 12 日,区块链安全公司 SlowMist 报道称,OKX 用户最近因 SIM 互换攻击而损失了数百万美元。