Cybercriminelen stelen miljoenen telefoonnummers van Authy

Cybercriminelen hebben 33 miljoen telefoonnummers van Twilio gestolen. De telefoonnummers zijn geassocieerd aan Authy-accounts. Authy is het tweestapsverificatieplatform van Twilio. De data kon worden gestolen via een onbeveiligd endpoint.

Een cybercrimineel of groep cybercriminelen die schuilgaat achter de naam ShinyHunters, uploadde eind juni een csv-tekstbestand met 33 miljoen telefoonnummers die bij Authy geregistreerd staan, schrijft Bleeping Computer. In het bestand staan ook account-ID's en de accountstatus.

Twilio heeft het datalek bevestigd en zegt dat de aanvallers de lijst telefoonnummers hebben verkregen door een niet-geverifieerd api-endpoint te gebruiken. ShinyHunters voerde een gigantische lijst met telefoonnummers aan dit endpoint. Als een telefoonnummer bekend bleek te zijn bij Authy, gaf het endpoint informatie over dat account terug aan de cybercriminelen. Het bedrijf heeft inmiddels dit endpoint weer beveiligd en accepteert geen niet-geverifieerde verzoeken meer.

Twilio benadrukt verder dat er geen accounts zijn gecompromitteerd en dat er geen aanwijzingen zijn dat de aanvallers toegang hebben verkregen tot de systemen van Twilio of andere gevoelige data. Wel kunnen de telefoonnummers misbruikt worden voor phishing- en smishingaanvallen.

Twilio heeft een nieuwe versie van zijn Authy-app uitgebracht op Android en iOS, met onder meer beveiligingsupdates. Het bedrijf adviseert gebruikers te updaten naar deze versie. Voor Android gaat het om v25.1.0 en voor iOS om v26.1.0. Twilio heeft geen details gegeven om wat voor beveiligingsupdates het precies gaat.

Door Eveline Meijer

Nieuwsredacteur

Feedback • 04-07-2024 13:28
77 • submitter: Vanquish92

04-07-2024 • 13:28

77

Submitter: Vanquish92

Lees meer

Organisaties waarschuwen voor phishingcampagne via gemailde pdf-bestanden
Organisaties waarschuwen voor phishingcampagne via gemailde pdf-bestanden Nieuws van 15 augustus 2024
Nederlandse maker van 'multifunctionele phishingtool' krijgt 3 jaar celstraf
Nederlandse maker van 'multifunctionele phishingtool' krijgt 3 jaar celstraf Nieuws van 24 juli 2024
Bel- en sms-logs van 'bijna alle' AT&T-klanten zijn gestolen in groot datalek
Bel- en sms-logs van 'bijna alle' AT&T-klanten zijn gestolen in groot datalek Nieuws van 12 juli 2024
Authy stopt al op 19 maart met ondersteunen desktopapps, niet in augustus
Authy stopt al op 19 maart met ondersteunen desktopapps, niet in augustus Nieuws van 14 februari 2024
Authy stopt in augustus met desktopapps en raadt mobiele apps aan
Authy stopt in augustus met desktopapps en raadt mobiele apps aan Nieuws van 9 januari 2024
Twilio ontslaat rond de 5 procent van personeel
Twilio ontslaat rond de 5 procent van personeel Nieuws van 4 december 2023
Google Authenticator gaat back-ups van tweestapsverificatiecodes ondersteunen
Google Authenticator gaat back-ups van tweestapsverificatiecodes ondersteunen Nieuws van 25 april 2023
Twilio ontslaat voor tweede keer in half jaar meer dan 10 procent van personeel
Twilio ontslaat voor tweede keer in half jaar meer dan 10 procent van personeel Nieuws van 13 februari 2023
Meer producten en artikelen
Beveiliging en antivirus Authy Cybercrime Twilio

Reacties (77)

-Moderatie-faq
77
73
25
1
0
39
Wijzig sortering
MadJo80 4 juli 2024 13:33
Twilio benadrukt verder dat er geen accounts zijn gecompromitteerd
Hoe kunnen ze hier zo zeker over zijn?

Ik was al bezig om weg te gaan bij Twilio Authy, tijd om dat definitief te maken.
P0WeRZz @MadJo804 juli 2024 13:46
Die conclusie kunnen ze trekken door na te gaan welke informatie er is gelekt door het api-endpoint wat ShinyHunters heeft misbruikt.

In het Tweakers-artikel ontbreekt deze informatie, maar in de gelinkte blogpost van Bleeping Computer is wel een screenshot met sample data te vinden.
Uit de screenshot blijkt dat van elke gebruiker de volgende gegevens konden worden opgehaald:
- account identifier
- telefoonnummer
- device_lock (?)
- account_status
- device_count

Er zijn dus geen gebruikersnamen, e-mailadressen en/of wachtwoorden gelekt.

//Edit: leesbaarheid

[Reactie gewijzigd door P0WeRZz op 22 juli 2024 15:15]

kipjr @P0WeRZz4 juli 2024 20:33
"Device_lock" is vermoedelijk de optie "allow multi-device in settings / devices.
MadJo80 @P0WeRZz4 juli 2024 13:49
Dank je voor de extra info.
Sandburger @MadJo804 juli 2024 13:38
Welke dienst ga je nu gebruiken?
Clevergyno @Sandburger4 juli 2024 14:14
Kan 2FAS sterk aanraden
jimzz @Clevergyno4 juli 2024 20:07
Als je een eigen servertje hebt kan ik self hosted bitwarden aanbevelen. Of self hosted 2fauth als je alleen de functies van authy wilt hebben.
robcoenen @Sandburger4 juli 2024 14:25
Ik ben van Authy naar Ente overgestapt. Deze heeft ook een desktop applicatie en is open-source.
iqcgubon @Sandburger4 juli 2024 15:02
Sinds het laatste Authy-debacle (weet al niet meer waarover dat nu weer ging) met succes overgestapt naar Aegis. FOSS en aanbevolen door PrivacyGuides: https://www.privacyguides.org/en/multi-factor-authentication.

(Update: wel enkel Android. Anders is Ente aan te bevelen.)

[Reactie gewijzigd door iqcgubon op 22 juli 2024 15:15]

MadJo80 @Sandburger4 juli 2024 13:40
ik was bezig met een overstap op 2FAS. Alleen lijkt het erop dat die site er nu uit ligt. :-/

Of misschien over op Yubikey met de Yubikey die ik vandaag van Tweakers mocht ontvangen :)

[Reactie gewijzigd door MadJo80 op 22 juli 2024 15:15]

brinkdinges @MadJo804 juli 2024 14:26
Ik dacht ook ooit dat een Yubikey een vervanger was van wachtwoorden of 2FA. Maar in de praktijk kun je hem bijna nergens gebruiken. Wel voor 2FA van bijvoorbeeld Github en Authy.
jacobkap @brinkdinges4 juli 2024 15:08
Elke website die passkeys ondersteunt kun je 'm op gebruiken. En dat worden er steeds meer.
Tehlo @brinkdinges4 juli 2024 16:04
Met de App van Yubi zelf kun je al je reguliere 2FA codes die je normaliter bijv in Authy of Google Auth had ook op je Yubikeys opslaan. Ik gebruik voor ALLES mijn Yubikeys, voor zowel reguliere TOTP 2FA als Webauth/Passkeys. Werkt fantastisch.
telenut @MadJo804 juli 2024 16:13
ben ook over gegaan op 2FAS
Minder handig dan authy, maar ik was al over gegaan sinds men geen chromebook meer ondersteunde. En het is wel veiliger.... want met Authy hef je de 2FA deels op natuurlijk.
Aegir81 @Sandburger4 juli 2024 14:33
2FAS Auth, zoals reeds vermeld werd is een goede keuze of Bitwarden, die hebben sinds kort ook een aparte app voor 2FA.
NLxDoDge @MadJo804 juli 2024 14:06
In principe konden ze niet bij wachtwoorden, tokens of anderen manieren van inloggen, alleen maar de data die aan een account vast zit e.g., naam , e-mail telefoon etc.

Ik er vanuit dat mijn telefoonnummer al een keer eerder is gelekt bij een andere website. Want anders zou ik nooit spam belletjes krijg van de Microsoft Tech support, dus mij maakt het niet superveel uit.

Maar als programmeur moet ik zeggen dat een endpoint niet beveiligen wel echt HEEL slecht is. Kom op zeg.
joeri1 @NLxDoDge4 juli 2024 14:42
Ik er vanuit dat mijn telefoonnummer al een keer eerder is gelekt bij een andere website. Want anders zou ik nooit spam belletjes krijg van de Microsoft Tech support, dus mij maakt het niet superveel uit.
Het nadeel is dat criminelen nu weten dat je Authy gebruikt en daar verder op in kunnen spelen. Wellicht dat jij en ik slim genoeg zijn daar niet in te trappen, maar onwetende gebruikers lopen wellicht gevaar.
cariolive23 @joeri14 juli 2024 15:53
Wellicht dat jij en ik slim genoeg zijn daar niet in te trappen
Echt vrijwel iedereen is slim genoeg om er niet in te trappen, ook jij en ik. Er is alleen geen relatie tussen "er in trappen" en intelligentie. En onder intelligentie schaar ik dan ook street wise.

Of jij wel of geen slachtoffer wordt, ligt voornamelijk aan de situatie. Het is net als met autorijden, wanneer jij 's morgens na een heerlijk nachtje slapen in de auto stapt, is de kans op een ongeval een stuk kleiner dan wanneer jij na een hele druk nacht in de nachtdienst in de auto stapt. Zelfde persoon, zelfde auto, zelfde kwaliteiten, totaal andere situatie.
rickgoemans @MadJo804 juli 2024 13:41
Op mijn werk zijn wij een tijdje geleden overgestapt naar 1Password voor onze Password Manager + OTP. Persoonlijk zit op ik Bitwarden. En in beide gevallen heb ik mijn account beveiligd met een Yubikey voor de toegang. Voor mij is dit op moment prima combi en beide werken heel fijn.

1Password vind ik nog iets fijner omdat die ook een screenshot kan maken en daar de QR code uit kan herkennen zodat ik niet mijn telefoon hoef te pakken.
P_Tingen @MadJo805 juli 2024 08:56
Hier ook. Zit in de overgang naar 2FAS om te zien of die bevalt. Account bij Authy maar eens opzeggen denk ik
Yggdrasil 4 juli 2024 13:43
Godver. De enige reden dat ik Authy nog gebruik is omdat het vereist wordt voor inloggen op SendGrid, een Twilio maildienst.

Ik heb de afgelopen jaren al herhaaldelijk bij hun Support geklaagd dat ik standaard TOTP, PassKeys o.i.d. wil kunnen gebruiken, i.p.v. hun proprietary codes die je alleen met Authy kunt genereren, maar dat houden ze steeds af. Nu is het weer te laat en ligt mijn nummer op straat. :(

[Reactie gewijzigd door Yggdrasil op 22 juli 2024 15:15]

paella @Yggdrasil4 juli 2024 13:50
Dat je nummer op straat ligt weet je (nog?) niet zeker. Ze hebben alleen informatie verkregen lees ik over telefoonnummers die de hackers hebben gevoerd aan het endpoint. Dus als je nummer gelekt is, was het feitelijk al gelekt.
Yggdrasil @paella4 juli 2024 14:24
Nee, zeker weet ik het niet. Maar de kans is best aanwezig aangezien het om een "massive list" gaat, misschien wel gewoon een lijst van alle mogelijke nummers. "BleepingComputer has learned that the data was compiled by feeding a massive list of phone numbers into the unsecured API endpoint. If the number was valid, the endpoint would return information about the associated accounts registered with Authy."

In tegenstelling tot een wachtwoord ga ik mijn telefoonnummer niet simpel even wijzigen, dus probeer ik de exposure te minimaliseren, want hoe meer gelekte databases er aan elkaar gekoppeld kunnen worden hoe gerichter ik aangevallen kan worden of mijn identiteit misbruikt kan worden. Zie o.a. het artikel van Bleeping Computer voor enkele risico's.

Het feit is dat Twilio mijn nummer helemaal niet had hoeven hebben om me te laten inloggen bij SendGrid. Er zijn zat standaard 2FA opties die geen persoonlijke informatie vereisen.
croc @Yggdrasil4 juli 2024 14:53
Als ik het goed begrijp is de enige meerwaarde dat ze nu weten dat voor de telefoonnummers die ze reeds in bezit hadden, er een Authy account is, met wat metadata.
lenwar
@Yggdrasil4 juli 2024 15:33
https://bitwarden.com/help/integrated-authenticator/

Bitwarden ondersteund 7-8-9-10 cijferige OTPs. Ook ondersteunen ze Steam Guard codes. Ik gebruik het zelf niet, maar allicht is dit een oplossing voor je?
Yggdrasil @lenwar4 juli 2024 15:54
Ik gebruik Bitwarden inderdaad voor mijn overige codes. Maar ik zie geen manier om de TOTP private key op te vragen bij SendGrid, die ik in Bitwarden kan invullen. Ze doen de Authy koppeling echter via je telefoonnummer. Ik geloof door een SMS te sturen naar je telefoon waar Authy op draait.
lenwar
@Yggdrasil4 juli 2024 17:05
Misschien kun je iets uit het sms’je zelf halen? Dat is uiteindelijk natuurlijk ook maar platte tekst net zoals die TOTP-string.

Maar misschien dat ze er ingewikkeld over doen door er een bewerking op los te laten.
Erg flauw. Voor mij zou het een reden zijn om dan m’n mail niet daar te laten lopen, maar allicht heb jij er andere valide redenen voor natuurlijk 😊. Je ken de dienst verder niet.
Yggdrasil @lenwar5 juli 2024 10:48
Het is een mail-relay dienst waarmee we de mail van honderden websites naar buiten sturen. Te geïntegreerd om even over te stappen. Vooral omdat je tegenwoordig bij al die honderden klanten DKIM records in hun eigen DNS moet hebben staan wil je mail ook aankomen.
lenwar
@Yggdrasil5 juli 2024 11:02
Ja... Dat is lastig dan. En dan is het, het overstappen ook niet waard vermoed ik. Ik heb uiteraard geen idee hoeveel andere soortgelijke diensten er zijn (tegen ongeveer dezelfde voorwaarden), maar dat is dan wel vervelend :(
Die aanpassing gaat een administratieve/organisatorische hel worden.
Zyphlan 4 juli 2024 13:39
Als een telefoonnummer bekend bleek te zijn bij Authy, gaf het endpoint informatie over dat account terug aan de cybercriminelen
Twilio benadrukt verder dat er geen accounts zijn gecompromitteerd en dat er geen aanwijzingen zijn dat de aanvallers toegang hebben verkregen tot de systemen van Twilio of andere gevoelige data.
Is de informatie die eruit kwam dan alleen: Dit telefoonnummer heeft een account?
m_roeling 4 juli 2024 13:49
Belangrijkste reden (voor mij) om destijds Authy te gebruiken was de mogelijkheid je data te synchroniseren. Dat kon bij de Google Authenticator app destijds nog niet.

Inmiddels is dat daar nu ook mogelijk. Voor mij de reden om toch terug te gaan naar de Google app.
Je kunt van alles van Google vinden, maar over het algemeen hebben ze de zaakjes technisch best goed voor elkaar. IMHO.
W00fer @m_roeling4 juli 2024 15:49
De Google Authenticator kent nog steeds minder functies dan Authy.
telenut @m_roeling4 juli 2024 16:15
De Google authenticator kan voor zover ik weet nog niet makkelijk de codes automatisch invullen in de browser op uw PC.
Aegir81 4 juli 2024 14:49
Het is al de 2e keer dat ze data lekken, de vorige was kleinschalig, maar toch: nieuws: Data klein aantal gebruikers van 2fa-app Authy ingezien bij hack moed...

Zelf ben ik al enige tijd over naar andere apps, voornamelijk 2FAS Auth.
Bor Coördinator Frontpage Admins / FP Powermod
4 juli 2024 15:29
Authy lijkt de eindgebruikers tot nu toe nog niet direct op de hoogte te hebben gebracht wat in mijn ogen een kwalijke zaak is. Er lijkt ook geen enkele manier beschikbaar te zijn op dit moment om te achterhalen of jouw informatie buit is gemaakt.
Cogency @Bor4 juli 2024 15:42
Vind het ook niet kosjer dat ik dit op een nieuws site moet vernemen.
addictive_rhymz 4 juli 2024 16:16
Kan ik ergens zien of mijn nummer ertussen zit?
cracking cloud 4 juli 2024 13:59
niet-geverifieerd api-endpoint is een rare manier om onbeveiligde api endpoint te zeggen
robcoenen 4 juli 2024 14:27
Tip: Ente

- Open-source
- Cross platform
- Cloud based (niet perse wenselijk overigens)

Veel mensen zijn geneigd hun 2FA codes in hun wachtwoordmanager te zetten maar dat is logischerwijs ook niet bepaald handig. Bitwarden is overigens ook bezig met het ontwikkelen van een losstaande authenticator app.
dehardstyler @robcoenen4 juli 2024 14:35
Lijkt erop dat de app er is volgens je link? Dank voor de tip overigens, ik speel al een tijd met het idee of van Authy weg te migreren. Dit is een mooi moment.
robcoenen @dehardstyler4 juli 2024 15:21
Klopt maar ze zijn pas net begonnen met de ontwikkeling (Bitwarden).

Zo kun je op iOS helaas wachtwoorden enkel herstellen door een iCloud back-up terug te zetten; iets wat ik nooit doe omdat ik altijd met een verse installatie begin.
Aegir81 @robcoenen4 juli 2024 14:39
Die kende ik nog niet, bedankt om te delen! Dat ziet er wel erg interessant uit.

Eén van de zaken die ik mis bij Bitwarden (en daarom nog steeds 2FA gebruik) is het gedeelde klembord. Als ik de 2FA-code kopieer op mijn telefoon, kan ik op de computer plakken. Dat scheelt toch een paar toetsen ;-) Kan Ente dit?
Yggdrasil @Aegir814 juli 2024 15:56
Is dat niet afhankelijk van het OS? Bijv. iOS doet dat vanzelf tussen Mac en iPhone.
Aegir81 @Yggdrasil5 juli 2024 16:21
Nee, staat expliciet uit bij Bitwarden.
Yggdrasil @Aegir819 juli 2024 15:36
Hmm, OK. Maar Bitwarden heeft gelukkig apps voor elk platform en de optie om de TOTP code automatisch in het clipboard te plaatsen bij inloggen op een site. Met CTRL-SHIFT-L, Enter, CTRL-V, Enter ben ik klaar.
Nokterian 4 juli 2024 15:09
Oh leuk zie dat ze op 19 maart gestopt zijn met de desktop app dus ik kan al mijn accounts niet overdragen naar een andere 2fa authenticator zoals bitwarden.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq