Утечка данных Authy угрожает 33 миллионам пользователей потенциальными фишинговыми атаками

1 июля 2024 года компания Twilio, создатель популярного приложения для двухфакторной аутентификации (2FA) Authy, сообщила о масштабной утечке данных, затронувшей телефонные номера пользователей.

Хотя сами учетные записи пользователей не были скомпрометированы, утечка телефонных номеров создает значительный риск фишинговых атак.

В опубликованном Twilio предупреждении о безопасности говорится, что злоумышленники получили доступ к базе данных Authy Android App через "неаутентифицированную конечную точку". В результате хакеры смогли идентифицировать данные, связанные с учетными записями пользователей, включая их номера телефонов.Twilio заверила пользователей, что учетные записи и аутентификационные данные остались в безопасности. Однако, открытые телефонные номера могут быть использованы для фишинговых атак, и компания призывает пользователей быть бдительными и обращать внимание на подозрительные сообщения.

После взлома Twilio защитила скомпрометированную конечную точку и выпустила обновленную версию приложения с улучшенными мерами безопасности. Компания подчеркивает, что нет доказательств, что злоумышленники получили доступ к системам Twilio или другим конфиденциальным данным.

Этот инцидент подчеркивает постоянную угрозу со стороны киберпреступных группировок, таких как ShinyHunters, которые, как сообщается, ответственны за атаку. ShinyHunters ранее были замешаны в громких утечках данных, включая утечку данных AT&T в 2021 году, затронувшую 51 миллион клиентов. В этот раз они опубликовали текстовый файл с 33 миллионами телефонных номеров, зарегистрированных в Authy.

Эта утечка является напоминанием об уязвимостях даже в самых надежных приложениях безопасности. Приложения-аутентификаторы, такие как Authy и Google Authenticator, были разработаны для противодействия атакам подмены SIM-карт — распространенной тактике социальной инженерии, при которой злоумышленники обманывают телефонные компании, чтобы получить номер телефона жертвы и коды 2FA.

Хотя эти приложения значительно улучшают безопасность, недавняя утечка демонстрирует, что ни одна система не является полностью защищенной.

Чтобы снизить риски, связанные с такими утечками, пользователям рекомендуется принимать многоуровневые меры безопасности. Важно регулярно обновлять приложения для аутентификации, использовать 2FA на основе приложений, а не SMS, и быть внимательными к возможным фишинговым атакам.

Также стоит рассмотреть использование аппаратных ключей безопасности для дополнительного уровня защиты.

Кроме того, важным шагом является обучение пользователей основам кибербезопасности. Информирование о возможных угрозах, методах фишинга и способах защиты своей информации может значительно повысить общую безопасность.

Международная Федерация Автоспорта (FIA), главный орган координации автогонок, объявила о серьезной компрометации личных данных из-за фишинг-атаки, затронувшей две учетные записи электронной почты. Инцидент, подчеркивающий уязвимость любой организации перед киберугрозами, вызвал широкий резонанс в сообществе автоспорта и за его пределами.

FIA в официальном заявлении подтвердила, что незаконный доступ к данным был немедленно прекращен после обнаружения инцидента. Организация немедленно уведомила французский регулятор по защите данных и швейцарский регулятор по прозрачности.

“Мы очень серьезно относимся к нашим обязательствам по защите данных и информационной безопасности”, - отметили в FIA, добавив, что введены дополнительные меры безопасности для защиты от будущих атак.Этот инцидент стал напоминанием о важности комплексного подхода к кибербезопасности, необходимости защиты данных с использованием современных методов шифрования и контроля доступа.

Джаввад Малик из KnowBe4 сказал: “Ни одна организация не застрахована от киберугроз, и необходимо уделять внимание как техническим, так и человеческим аспектам безопасности”.

Эксперт по кибербезопасности Эрфан Шадаби подчеркнул важность защиты данных в цифровую эпоху, где каждая организация подвержена рискам кибератак. Он рекомендовал использовать передовые методы защиты, такие как шифрование и токенизация, чтобы обеспечить безопасность конфиденциальной информации.

В современном мире, где цифровые данные становятся объектами постоянного внимания киберпреступников, необходимость в повышении уровня кибербезопасности становится все более очевидной.

FIA и другие организации вызывают к действию, призывая к усилению мер безопасности для защиты данных и обеспечения безопасности в цифровой среде.

Сегодня многие организации переходят на многофакторную аутентификацию (MFA) для защиты своих компьютерных систем, сетей и приложений. Это важный шаг в обеспечении безопасности, однако, не все формы MFA соответствуют новым стандартам кибербезопасности и лучшим отраслевым практикам.

Большинство популярных методов MFA, таких как одноразовые коды и push-уведомления, имеют уязвимости, которые могут быть использованы злоумышленниками с помощью фишинга и социальной инженерии.

На сегодняшний день наиболее распространенные формы MFA включают одноразовые коды, отправляемые по электронной почте или SMS, и push-уведомления. Эти методы требуют от пользователей наличия надежного устройства, обычно смартфона, для получения кода или уведомления.

Несмотря на дополнительный уровень защиты, который они предоставляют, эти методы подвержены атакам. Киберпреступники все чаще используют фишинг, социальную инженерию и перехват данных для обхода этих форм MFA.

Push-уведомления требуют от пользователя нажать "Принять" на своем смартфоне. Хотя это удобно, push-уведомления уязвимы для атак, таких как социальная инженерия и push-бомбардировки. Во время push-атаки пользователю отправляются многочисленные уведомления, пока он не примет одно из них, случайно или в отчаянии.

Мошенники могут обманом заставить пользователей принять push-уведомление, притворяясь сотрудниками ИТ-отдела или других доверенных органов.

Одноразовые коды также имеют свои недостатки. Они могут быть неудобны для пользователей, что приводит к неудачным попыткам входа и потере времени. Злоумышленники могут обманом заставить пользователей раскрыть свои коды или ввести их на фальшивом сайте с помощью фишинговых атак.

Коды, отправляемые по SMS, уязвимы для атак, таких как замена SIM-карты, когда злоумышленники обманом заставляют операторов сотовой связи передавать номер телефона цели на свою SIM-карту.

Именно поэтому обучение пользователей кибербезопасности является ключевым шагом в повышении защиты ваших систем. Наша миссия — вооружить вас знаниями и инструментами для противостояния киберугрозам и социальной инженерии.