Cybercriminelen stelen miljoenen telefoonnummers van Authy

Cybercriminelen hebben 33 miljoen telefoonnummers van Twilio gestolen. De telefoonnummers zijn geassocieerd aan Authy-accounts. Authy is het tweestapsverificatieplatform van Twilio. De data kon worden gestolen via een onbeveiligd endpoint.

Een cybercrimineel of groep cybercriminelen die schuilgaat achter de naam ShinyHunters, uploadde eind juni een csv-tekstbestand met 33 miljoen telefoonnummers die bij Authy geregistreerd staan, schrijft Bleeping Computer. In het bestand staan ook account-ID's en de accountstatus.

Twilio heeft het datalek bevestigd en zegt dat de aanvallers de lijst telefoonnummers hebben verkregen door een niet-geverifieerd api-endpoint te gebruiken. ShinyHunters voerde een gigantische lijst met telefoonnummers aan dit endpoint. Als een telefoonnummer bekend bleek te zijn bij Authy, gaf het endpoint informatie over dat account terug aan de cybercriminelen. Het bedrijf heeft inmiddels dit endpoint weer beveiligd en accepteert geen niet-geverifieerde verzoeken meer.

Twilio benadrukt verder dat er geen accounts zijn gecompromitteerd en dat er geen aanwijzingen zijn dat de aanvallers toegang hebben verkregen tot de systemen van Twilio of andere gevoelige data. Wel kunnen de telefoonnummers misbruikt worden voor phishing- en smishingaanvallen.

Twilio heeft een nieuwe versie van zijn Authy-app uitgebracht op Android en iOS, met onder meer beveiligingsupdates. Het bedrijf adviseert gebruikers te updaten naar deze versie. Voor Android gaat het om v25.1.0 en voor iOS om v26.1.0. Twilio heeft geen details gegeven om wat voor beveiligingsupdates het precies gaat.

Door Eveline Meijer

Nieuwsredacteur

04-07-2024 • 13:28

77

Submitter: Vanquish92

Reacties (77)

77
73
25
1
0
39
Wijzig sortering
Twilio benadrukt verder dat er geen accounts zijn gecompromitteerd
Hoe kunnen ze hier zo zeker over zijn?

Ik was al bezig om weg te gaan bij Twilio Authy, tijd om dat definitief te maken.
Die conclusie kunnen ze trekken door na te gaan welke informatie er is gelekt door het api-endpoint wat ShinyHunters heeft misbruikt.

In het Tweakers-artikel ontbreekt deze informatie, maar in de gelinkte blogpost van Bleeping Computer is wel een screenshot met sample data te vinden.
Uit de screenshot blijkt dat van elke gebruiker de volgende gegevens konden worden opgehaald:
- account identifier
- telefoonnummer
- device_lock (?)
- account_status
- device_count

Er zijn dus geen gebruikersnamen, e-mailadressen en/of wachtwoorden gelekt.

//Edit: leesbaarheid

[Reactie gewijzigd door P0WeRZz op 22 juli 2024 15:15]

"Device_lock" is vermoedelijk de optie "allow multi-device in settings / devices.
Dank je voor de extra info.
Welke dienst ga je nu gebruiken?
Kan 2FAS sterk aanraden
Als je een eigen servertje hebt kan ik self hosted bitwarden aanbevelen. Of self hosted 2fauth als je alleen de functies van authy wilt hebben.
Ik ben van Authy naar Ente overgestapt. Deze heeft ook een desktop applicatie en is open-source.
Sinds het laatste Authy-debacle (weet al niet meer waarover dat nu weer ging) met succes overgestapt naar Aegis. FOSS en aanbevolen door PrivacyGuides: https://www.privacyguides.org/en/multi-factor-authentication.

(Update: wel enkel Android. Anders is Ente aan te bevelen.)

[Reactie gewijzigd door iqcgubon op 22 juli 2024 15:15]

ik was bezig met een overstap op 2FAS. Alleen lijkt het erop dat die site er nu uit ligt. :-/

Of misschien over op Yubikey met de Yubikey die ik vandaag van Tweakers mocht ontvangen :)

[Reactie gewijzigd door MadJo80 op 22 juli 2024 15:15]

Ik dacht ook ooit dat een Yubikey een vervanger was van wachtwoorden of 2FA. Maar in de praktijk kun je hem bijna nergens gebruiken. Wel voor 2FA van bijvoorbeeld Github en Authy.
Elke website die passkeys ondersteunt kun je 'm op gebruiken. En dat worden er steeds meer.
Met de App van Yubi zelf kun je al je reguliere 2FA codes die je normaliter bijv in Authy of Google Auth had ook op je Yubikeys opslaan. Ik gebruik voor ALLES mijn Yubikeys, voor zowel reguliere TOTP 2FA als Webauth/Passkeys. Werkt fantastisch.
ben ook over gegaan op 2FAS
Minder handig dan authy, maar ik was al over gegaan sinds men geen chromebook meer ondersteunde. En het is wel veiliger.... want met Authy hef je de 2FA deels op natuurlijk.
2FAS Auth, zoals reeds vermeld werd is een goede keuze of Bitwarden, die hebben sinds kort ook een aparte app voor 2FA.
In principe konden ze niet bij wachtwoorden, tokens of anderen manieren van inloggen, alleen maar de data die aan een account vast zit e.g., naam , e-mail telefoon etc.

Ik er vanuit dat mijn telefoonnummer al een keer eerder is gelekt bij een andere website. Want anders zou ik nooit spam belletjes krijg van de Microsoft Tech support, dus mij maakt het niet superveel uit.

Maar als programmeur moet ik zeggen dat een endpoint niet beveiligen wel echt HEEL slecht is. Kom op zeg.
Ik er vanuit dat mijn telefoonnummer al een keer eerder is gelekt bij een andere website. Want anders zou ik nooit spam belletjes krijg van de Microsoft Tech support, dus mij maakt het niet superveel uit.
Het nadeel is dat criminelen nu weten dat je Authy gebruikt en daar verder op in kunnen spelen. Wellicht dat jij en ik slim genoeg zijn daar niet in te trappen, maar onwetende gebruikers lopen wellicht gevaar.
Wellicht dat jij en ik slim genoeg zijn daar niet in te trappen
Echt vrijwel iedereen is slim genoeg om er niet in te trappen, ook jij en ik. Er is alleen geen relatie tussen "er in trappen" en intelligentie. En onder intelligentie schaar ik dan ook street wise.

Of jij wel of geen slachtoffer wordt, ligt voornamelijk aan de situatie. Het is net als met autorijden, wanneer jij 's morgens na een heerlijk nachtje slapen in de auto stapt, is de kans op een ongeval een stuk kleiner dan wanneer jij na een hele druk nacht in de nachtdienst in de auto stapt. Zelfde persoon, zelfde auto, zelfde kwaliteiten, totaal andere situatie.
Op mijn werk zijn wij een tijdje geleden overgestapt naar 1Password voor onze Password Manager + OTP. Persoonlijk zit op ik Bitwarden. En in beide gevallen heb ik mijn account beveiligd met een Yubikey voor de toegang. Voor mij is dit op moment prima combi en beide werken heel fijn.

1Password vind ik nog iets fijner omdat die ook een screenshot kan maken en daar de QR code uit kan herkennen zodat ik niet mijn telefoon hoef te pakken.
Hier ook. Zit in de overgang naar 2FAS om te zien of die bevalt. Account bij Authy maar eens opzeggen denk ik
Godver. De enige reden dat ik Authy nog gebruik is omdat het vereist wordt voor inloggen op SendGrid, een Twilio maildienst.

Ik heb de afgelopen jaren al herhaaldelijk bij hun Support geklaagd dat ik standaard TOTP, PassKeys o.i.d. wil kunnen gebruiken, i.p.v. hun proprietary codes die je alleen met Authy kunt genereren, maar dat houden ze steeds af. Nu is het weer te laat en ligt mijn nummer op straat. :(

[Reactie gewijzigd door Yggdrasil op 22 juli 2024 15:15]

Dat je nummer op straat ligt weet je (nog?) niet zeker. Ze hebben alleen informatie verkregen lees ik over telefoonnummers die de hackers hebben gevoerd aan het endpoint. Dus als je nummer gelekt is, was het feitelijk al gelekt.
Nee, zeker weet ik het niet. Maar de kans is best aanwezig aangezien het om een "massive list" gaat, misschien wel gewoon een lijst van alle mogelijke nummers. "BleepingComputer has learned that the data was compiled by feeding a massive list of phone numbers into the unsecured API endpoint. If the number was valid, the endpoint would return information about the associated accounts registered with Authy."

In tegenstelling tot een wachtwoord ga ik mijn telefoonnummer niet simpel even wijzigen, dus probeer ik de exposure te minimaliseren, want hoe meer gelekte databases er aan elkaar gekoppeld kunnen worden hoe gerichter ik aangevallen kan worden of mijn identiteit misbruikt kan worden. Zie o.a. het artikel van Bleeping Computer voor enkele risico's.

Het feit is dat Twilio mijn nummer helemaal niet had hoeven hebben om me te laten inloggen bij SendGrid. Er zijn zat standaard 2FA opties die geen persoonlijke informatie vereisen.
Als ik het goed begrijp is de enige meerwaarde dat ze nu weten dat voor de telefoonnummers die ze reeds in bezit hadden, er een Authy account is, met wat metadata.
https://bitwarden.com/help/integrated-authenticator/

Bitwarden ondersteund 7-8-9-10 cijferige OTPs. Ook ondersteunen ze Steam Guard codes. Ik gebruik het zelf niet, maar allicht is dit een oplossing voor je?
Ik gebruik Bitwarden inderdaad voor mijn overige codes. Maar ik zie geen manier om de TOTP private key op te vragen bij SendGrid, die ik in Bitwarden kan invullen. Ze doen de Authy koppeling echter via je telefoonnummer. Ik geloof door een SMS te sturen naar je telefoon waar Authy op draait.
Misschien kun je iets uit het sms’je zelf halen? Dat is uiteindelijk natuurlijk ook maar platte tekst net zoals die TOTP-string.

Maar misschien dat ze er ingewikkeld over doen door er een bewerking op los te laten.
Erg flauw. Voor mij zou het een reden zijn om dan m’n mail niet daar te laten lopen, maar allicht heb jij er andere valide redenen voor natuurlijk 😊. Je ken de dienst verder niet.
Het is een mail-relay dienst waarmee we de mail van honderden websites naar buiten sturen. Te geïntegreerd om even over te stappen. Vooral omdat je tegenwoordig bij al die honderden klanten DKIM records in hun eigen DNS moet hebben staan wil je mail ook aankomen.
Ja... Dat is lastig dan. En dan is het, het overstappen ook niet waard vermoed ik. Ik heb uiteraard geen idee hoeveel andere soortgelijke diensten er zijn (tegen ongeveer dezelfde voorwaarden), maar dat is dan wel vervelend :(
Die aanpassing gaat een administratieve/organisatorische hel worden.
Als een telefoonnummer bekend bleek te zijn bij Authy, gaf het endpoint informatie over dat account terug aan de cybercriminelen
Twilio benadrukt verder dat er geen accounts zijn gecompromitteerd en dat er geen aanwijzingen zijn dat de aanvallers toegang hebben verkregen tot de systemen van Twilio of andere gevoelige data.
Is de informatie die eruit kwam dan alleen: Dit telefoonnummer heeft een account?
Belangrijkste reden (voor mij) om destijds Authy te gebruiken was de mogelijkheid je data te synchroniseren. Dat kon bij de Google Authenticator app destijds nog niet.

Inmiddels is dat daar nu ook mogelijk. Voor mij de reden om toch terug te gaan naar de Google app.
Je kunt van alles van Google vinden, maar over het algemeen hebben ze de zaakjes technisch best goed voor elkaar. IMHO.
De Google Authenticator kent nog steeds minder functies dan Authy.
De Google authenticator kan voor zover ik weet nog niet makkelijk de codes automatisch invullen in de browser op uw PC.
Het is al de 2e keer dat ze data lekken, de vorige was kleinschalig, maar toch: nieuws: Data klein aantal gebruikers van 2fa-app Authy ingezien bij hack moed...

Zelf ben ik al enige tijd over naar andere apps, voornamelijk 2FAS Auth.
Bor Coördinator Frontpage Admins / FP Powermod 4 juli 2024 15:29
Authy lijkt de eindgebruikers tot nu toe nog niet direct op de hoogte te hebben gebracht wat in mijn ogen een kwalijke zaak is. Er lijkt ook geen enkele manier beschikbaar te zijn op dit moment om te achterhalen of jouw informatie buit is gemaakt.
Vind het ook niet kosjer dat ik dit op een nieuws site moet vernemen.
Kan ik ergens zien of mijn nummer ertussen zit?
niet-geverifieerd api-endpoint is een rare manier om onbeveiligde api endpoint te zeggen
Tip: Ente

- Open-source
- Cross platform
- Cloud based (niet perse wenselijk overigens)

Veel mensen zijn geneigd hun 2FA codes in hun wachtwoordmanager te zetten maar dat is logischerwijs ook niet bepaald handig. Bitwarden is overigens ook bezig met het ontwikkelen van een losstaande authenticator app.
Lijkt erop dat de app er is volgens je link? Dank voor de tip overigens, ik speel al een tijd met het idee of van Authy weg te migreren. Dit is een mooi moment.
Klopt maar ze zijn pas net begonnen met de ontwikkeling (Bitwarden).

Zo kun je op iOS helaas wachtwoorden enkel herstellen door een iCloud back-up terug te zetten; iets wat ik nooit doe omdat ik altijd met een verse installatie begin.
Die kende ik nog niet, bedankt om te delen! Dat ziet er wel erg interessant uit.

Eén van de zaken die ik mis bij Bitwarden (en daarom nog steeds 2FA gebruik) is het gedeelde klembord. Als ik de 2FA-code kopieer op mijn telefoon, kan ik op de computer plakken. Dat scheelt toch een paar toetsen ;-) Kan Ente dit?
Is dat niet afhankelijk van het OS? Bijv. iOS doet dat vanzelf tussen Mac en iPhone.
Nee, staat expliciet uit bij Bitwarden.
Hmm, OK. Maar Bitwarden heeft gelukkig apps voor elk platform en de optie om de TOTP code automatisch in het clipboard te plaatsen bij inloggen op een site. Met CTRL-SHIFT-L, Enter, CTRL-V, Enter ben ik klaar.
Oh leuk zie dat ze op 19 maart gestopt zijn met de desktop app dus ik kan al mijn accounts niet overdragen naar een andere 2fa authenticator zoals bitwarden.

Op dit item kan niet meer gereageerd worden.