Twilio, bilgisayar korsanlarının 3,3 milyon Authy kullanıcısının telefon numarası verisini sızdırdığını doğruladı

 (securityweek.com)
3 puan yazan GN⁺ 2024-07-05 | 2 yorum | WhatsApp'ta paylaş
  • Kötü şöhretli ShinyHunters hacker grubu, BreachForums sitesinde Twilio'nun 2FA uygulaması Authy ile ilişkili 3,300 milyon rastgele telefon numarasını sızdırdığını duyurdu
  • Sızdırılan bilgiler arasında hesap kimlikleri ve bazı kişisel olmayan veriler de bulunuyor
  • Twilio, internet sitesinde bir güvenlik uyarısı yayımlayarak veri sızıntısını doğruladı
  • Şirket, "Twilio, kimliği doğrulanmamış bir endpoint üzerinden Authy hesaplarıyla ilişkili verilerin tespit edilmesini mümkün kılan bir tehdit aktörünü fark etti. Bu endpoint'i güvence altına almak için adımlar attık ve artık kimliği doğrulanmamış isteklere izin vermiyoruz" dedi
  • Twilio, hackerların sistemlere eriştiğine veya başka hassas veriler elde ettiğine dair bir kanıt olmadığını, ancak önlem olarak Authy kullanıcılarına en güncel Android ve iOS güvenlik güncellemelerini yüklemelerini tavsiye etti
  • Twilio, "Authy hesapları ele geçirilmemiş olsa da, tehdit aktörü Authy hesaplarıyla ilişkili telefon numaralarını phishing ve smishing saldırılarında kullanabilir; bu nedenle tüm Authy kullanıcılarının aldıkları SMS mesajlarına karşı tetikte ve dikkatli olmalarını öneriyoruz" dedi

GN⁺ Görüşü

  • Twilio'daki veri sızıntısı olayı, kimliği doğrulanmamış endpoint'lerin önemini vurguluyor. Güvenli endpoint'leri korumanın ne kadar önemli olduğunu gösteriyor
  • Authy kullanıcılarının phishing ve smishing saldırılarına karşı daha dikkatli olması gerekiyor. Telefon numarası sızıntısı nedeniyle bu tür saldırıların artma ihtimali var
  • Twilio endpoint'i hızla güvence altına almış olsa da, diğer şirketlerin de benzer durumlara hazırlıklı olması gerekiyor. Önleyici tedbirler önemli
  • ShinyHunters gibi hacker gruplarının faaliyetleri artmaya devam ediyor. Şirketlerin güvenlik durumlarını sürekli kontrol edip güçlendirmesi gerekiyor
  • Benzer işlevler sunan diğer güvenlik uygulamaları arasında Google Authenticator ve Microsoft Authenticator da bulunuyor. Kullanıcılar farklı seçenekleri değerlendirebilir

İlgili okumalar

2 yorum

 
carnoxen 2024-07-12

https://gist.github.com/gboudreau/94bb0c11a6209c82418d01a59d958c93

Authy içindeki verileri çıkarma yöntemi
 
GN⁺ 2024-07-05
Hacker News görüşleri

  • Telefon numaram birden fazla veri sızıntısına karıştı ve spam çok arttı

    • Geleneksel telefon ağı, spam sorunu nedeniyle faks gibi yok olma riski taşıyor
    • Aileyle yapılan görüşmelerde bile FaceTime, Zoom, Meet vb. kullanılıyor
    • Geleneksel telefon ağı üzerinden yapılan meşru bir aramayı hatırlamıyorum
    • Bu platformlar pazarı tamamen ele geçirirse reklam ekleme ihtimalleri var
    • Gmail'in e-posta üzerinden gelir elde etme örneği bunu gösteriyor

  • Authy'nin cep telefonu numarası ve e-posta adresi istemesi mantıksız

    • Bulut senkronizasyonuna veya yedeklemeye ihtiyaç yok
    • Kullanıcı bilgilerini bulutta saklamak bir saldırı hedefi haline gelebilir
    • Bu, 2FA'nın ruhuna aykırı

  • Twilio, SendGrid ve Twilio'nun kendi 2FA'sı için Authy'yi zorunlu tutuyor

    • Standartlaştırılmış 2FA'yı desteklemediği için 1Password kullanılamıyor
    • Authy kullanmaya zorlandım ama yine de sorunlar yaşandı
    • Twilio kullanıcılara kendi özel çözümünü dayatmamalı

  • Birçok kurum ve şirketin ilk temas anında kişisel bilgi talep etmesinden rahatsızlık duyuluyor

    • Sağlık hizmeti sağlayıcıları bile müşteri verilerini düz metin e-postayla gönderiyor
    • Tıbbi sonuçları sunan belgelerin telif hakkının kendilerine ait olduğunu iddia ediyorlar
    • İnsanlar bu hizmetlere yüksek puan veriyor ama gerçekte hizmet şartlarını okumuyor

  • Kullanıcı kayıt endpoint'inde bilgi ifşası zafiyeti bulundu

    • Authy kullanıcılarının telefon numarası üzerinden başka numaralar, cihazlar, zaman damgaları, e-posta adresleri vb. sorgulanabiliyordu
    • Bu sorunun çözülmesi 2 yıl sürdü

  • 2FA token üretmek için Authy'nin iOS uygulamasını kullanıyorum ama telefon numarası girdiğimi hatırlamıyorum

    • Bunun iOS istemci uygulamasının kendi sorunu mu olduğu, yoksa yalnızca çevrimiçi hesap oluşturan kullanıcıların mı etkilendiği doğrulanıyor

  • Twilio, kimliği doğrulanmamış bir endpoint nedeniyle Authy hesaplarıyla ilişkili verilerin tespit edilebildiğini açıkladı

    • Bu endpoint güvenlik altına alındı ve artık kimliği doğrulanmamış isteklere izin verilmiyor
    • Kendi uygulamanızda bu tür sorunlardan kaçınmak için tüm isteklerde kimlik doğrulamayı zorunlu kılmalı ve satır düzeyi güvenlik uygulamalısınız
    • Test framework'leri kullanılarak bu tür sorunlar tespit edilebilir

  • Authy'nin özel kimlik doğrulama şemasını kullanmıyorsanız, verileri dışa aktarmanın zamanı gelmiş olabilir

    • Ham TOTP token'lar yalnızca masaüstü sürümden dışa aktarılabiliyor
    • Token'ları masaüstü uygulamasına yükledikten sonra eski bir sürüme dönüp JavaScript fonksiyonunu çalıştırmak gerekiyor

  • iPhone'da Rahatsız Etmeyin modu ayarlanırsa tüm aramalar sesli mesaja yönlendiriliyor

    • Yalnızca acil durum kişileri, favoriler ve 1by1 Focus içindeki kişilerin tekrarlayan aramaları çalıyor
    • Android'de aynı ayar aynı şekilde çalışmıyor
    • Telefon numarasını Google Voice veya Fi'ye taşırsanız spam aramaları filtreleyebilirsiniz

  • ente.io/auth geliştirildi

    • Platformlar arası bir authenticator gerekiyorsa bakılabilir
    • FOSS, isteğe bağlı e2ee yedekleme sunuyor