根据网路安全公司慢雾(SlowMist)的资安长 23pds 在 X 平台上警告称,双因素验证(2FA)服务 Authy 遭到骇客攻击,3,300 万名用户的电话号码已泄漏。官方开发商 Twilio 已确认相关漏洞。
23pds 表示,有很多加密货币从业人员使用 Authy,他提醒这款 2FA 软体的用户警惕网路钓鱼攻击。
根据外媒《TechCrunch》报导,知名骇客集团 ShinyHunters 上周在知名骇客论坛上宣称他们骇入 Twilio 并窃取了 3,300 万个电话号码。Twilio 发言人 Kari Ramirez 周二(2日)向 TechCrunch 证实,该公司「已检测到威胁行为者能够识别 Authy 帐户相关的数据,包括电话号码,这是由於一个未经身分验证的端点」。Twilio 称已采取行动确保该端点的安全,不再允许未经身份验证的请求。
Ramirez 表示:
社会工程学专家、SocialProof Security 的执行长 Rachel Tobac 受访表示,如果攻击者能够列举出用户的电话号码清单,那麽这些攻击者就可以对那些用户冒充成 Authy/Twilio,从而增加针对这些电话号码的网路钓鱼攻击的可信度。
相关文章:
《旅客成为攻击目标,以 AI 制作的网路钓鱼信和「充电陷阱」正在兴起》
《慢雾分析:私钥泄漏为第二季最常见的加密货币被盗原因》
