Cybercriminelen hebben 33 miljoen telefoonnummers van Twilio gestolen. De telefoonnummers zijn geassocieerd aan Authy-accounts. Authy is het tweestapsverificatieplatform van Twilio. De data kon worden gestolen via een onbeveiligd endpoint.
Een cybercrimineel of groep cybercriminelen die schuilgaat achter de naam ShinyHunters, uploadde eind juni een csv-tekstbestand met 33 miljoen telefoonnummers die bij Authy geregistreerd staan, schrijft Bleeping Computer. In het bestand staan ook account-ID's en de accountstatus.
Twilio heeft het datalek bevestigd en zegt dat de aanvallers de lijst telefoonnummers hebben verkregen door een niet-geverifieerd api-endpoint te gebruiken. ShinyHunters voerde een gigantische lijst met telefoonnummers aan dit endpoint. Als een telefoonnummer bekend bleek te zijn bij Authy, gaf het endpoint informatie over dat account terug aan de cybercriminelen. Het bedrijf heeft inmiddels dit endpoint weer beveiligd en accepteert geen niet-geverifieerde verzoeken meer.
Twilio benadrukt verder dat er geen accounts zijn gecompromitteerd en dat er geen aanwijzingen zijn dat de aanvallers toegang hebben verkregen tot de systemen van Twilio of andere gevoelige data. Wel kunnen de telefoonnummers misbruikt worden voor phishing- en smishingaanvallen.
Twilio heeft een nieuwe versie van zijn Authy-app uitgebracht op Android en iOS, met onder meer beveiligingsupdates. Het bedrijf adviseert gebruikers te updaten naar deze versie. Voor Android gaat het om v25.1.0 en voor iOS om v26.1.0. Twilio heeft geen details gegeven om wat voor beveiligingsupdates het precies gaat.