Twilio mengonfirmasi peretas membocorkan data nomor telepon 33 juta pengguna Authy

 (securityweek.com)
3 poin oleh GN⁺ 2024-07-05 | 2 komentar | Bagikan ke WhatsApp
  • Kelompok peretas ShinyHunters yang terkenal mengumumkan di situs web BreachForums bahwa mereka membocorkan 33 juta nomor telepon acak yang terkait dengan Authy, aplikasi 2FA milik Twilio
  • Informasi yang bocor juga mencakup ID akun dan beberapa data nonpribadi
  • Twilio memposting peringatan keamanan di situs webnya untuk mengonfirmasi kebocoran data tersebut
  • "Twilio mendeteksi pelaku ancaman yang dapat mengidentifikasi data terkait akun Authy melalui endpoint yang tidak diautentikasi. Kami telah mengambil langkah untuk mengamankan endpoint ini dan kini tidak lagi mengizinkan permintaan yang tidak diautentikasi," kata perusahaan tersebut
  • Twilio menyatakan tidak ada bukti bahwa peretas mengakses sistem atau memperoleh data sensitif lainnya, tetapi sebagai langkah pencegahan, perusahaan merekomendasikan pengguna Authy untuk memasang pembaruan keamanan Android dan iOS terbaru
  • "Akun Authy tidak disusupi, tetapi karena pelaku ancaman dapat menggunakan nomor telepon yang terkait dengan akun Authy untuk serangan phishing dan smishing, kami menyarankan semua pengguna Authy untuk tetap waspada dan berhati-hati terhadap pesan teks yang mereka terima," ujar Twilio

Opini GN⁺

  • Insiden kebocoran data Twilio menyoroti pentingnya endpoint yang tidak diautentikasi. Ini menunjukkan betapa pentingnya menjaga keamanan endpoint
  • Pengguna Authy perlu meningkatkan kewaspadaan terhadap serangan phishing dan smishing. Kebocoran nomor telepon dapat meningkatkan kemungkinan serangan semacam ini
  • Twilio merespons dengan cepat untuk mengamankan endpoint, tetapi perusahaan lain juga harus bersiap menghadapi situasi serupa. Langkah pencegahan sangat penting
  • Aktivitas kelompok peretas seperti ShinyHunters terus meningkat. Perusahaan perlu terus memeriksa dan memperkuat postur keamanan mereka
  • Aplikasi keamanan lain dengan fungsi serupa mencakup Google Authenticator dan Microsoft Authenticator. Pengguna dapat mempertimbangkan berbagai opsi

Bacaan terkait

2 komentar

 
GN⁺ 2024-07-05
Komentar Hacker News

  • Nomor telepon saya ikut bocor di beberapa kebocoran data, jadi spam makin banyak

    • Jaringan telepon tradisional berisiko menghilang seperti faks karena masalah spam
    • Bahkan untuk menelepon keluarga, saya memakai FaceTime, Zoom, Meet, dan sejenisnya
    • Saya tidak ingat kapan terakhir kali menerima panggilan yang sah lewat jaringan telepon tradisional
    • Platform-platform ini kemungkinan akan menambahkan iklan jika sudah sepenuhnya menguasai pasar
    • Ini terlihat dari bagaimana Gmail menghasilkan uang lewat email

  • Tidak masuk akal jika Authy meminta nomor ponsel dan alamat email

    • Sinkronisasi cloud atau backup tidak dibutuhkan
    • Menyimpan informasi pengguna di cloud bisa menjadi target serangan
    • Ini tidak sesuai dengan semangat 2FA

  • Twilio mewajibkan Authy untuk 2FA di SendGrid dan Twilio sendiri

    • 2FA yang terstandarisasi tidak didukung, jadi 1Password tidak bisa dipakai
    • Saya dipaksa memakai Authy, tetapi masalah tetap terjadi
    • Twilio seharusnya tidak memaksa pengguna ke solusi buatannya sendiri

  • Banyak organisasi dan perusahaan menjengkelkan karena meminta informasi pribadi saat kontak pertama

    • Penyedia layanan kesehatan pun mengirim data klien lewat email teks biasa
    • Mereka mengklaim memiliki hak cipta atas dokumen yang memberikan hasil medis
    • Orang-orang memberi nilai tinggi pada layanan seperti ini, tetapi sebenarnya tidak membaca syarat layanannya

  • Saya pernah menemukan kerentanan kebocoran informasi di endpoint pendaftaran pengguna

    • Melalui nomor telepon pengguna Authy, nomor lain, perangkat, stempel waktu, alamat email, dan lainnya bisa dicari
    • Butuh 2 tahun untuk memperbaiki masalah ini

  • Saya memakai aplikasi iOS Authy untuk membuat token 2FA, tetapi tidak ingat pernah memasukkan nomor telepon

    • Saya sedang memeriksa apakah ini masalah di aplikasi klien iOS itu sendiri, atau hanya memengaruhi pengguna yang membuat akun online

  • Twilio dapat mengidentifikasi data yang terkait dengan akun Authy karena endpoint yang tidak diautentikasi

    • Endpoint ini kini sudah diamankan sehingga tidak lagi menerima permintaan tanpa autentikasi
    • Untuk menghindari masalah seperti ini di aplikasi sendiri, paksa autentikasi untuk semua permintaan dan terapkan keamanan tingkat baris
    • Masalah seperti ini bisa dideteksi dengan framework pengujian

  • Jika tidak menggunakan skema autentikasi kustom Authy, sekarang saatnya mengekspor data

    • Token TOTP mentah hanya bisa diekspor dari versi desktop
    • Setelah memuat token ke aplikasi desktop, Anda harus downgrade ke versi lama lalu menjalankan fungsi JavaScript

  • Di iPhone, jika mode Jangan Ganggu diaktifkan, semua panggilan akan dikirim ke pesan suara

    • Hanya kontak darurat, favorit, dan panggilan berulang dari orang di fokus 1by1 yang akan berdering
    • Di Android, pengaturan yang sama tidak bekerja
    • Jika nomor dipindahkan ke Google Voice atau Fi, panggilan spam bisa difilter

  • Saya membangun ente.io/auth

    • Jika membutuhkan authenticator lintas platform, silakan cek
    • FOSS, dengan backup e2ee opsional