云端通讯平台Twilio本周发布安全警告，并更新了Android版与iOS版的Twilio Authy程序。根据TechCrunch的报导，知名骇客集团ShinyHunters宣称已成功骇入Twilio，并取得3,300万名Authy用户的电话号码。

成立于2008年的Twilio为美国上市公司，为一云端通讯平台供应商，让开发人员能够将各种通讯功能整合到应用程序中，除了多元的通讯API之外，Twilio亦提供客服平台Twilio Flex、Twilio IoT与Super SIM物联网解决方案，以及Authy等多因素身分验证解决方案。此次出问题的即是Authy。

安装了Authy之后，使用者可于装置上生成双因素身分验证的权杖，Authy也提供云端备份服务，支援装置同步功能，并可离线生成权杖，相容于脸书、Dropbox、Amazon及Gmail等支援多因素身分验证的数千种应用。

本周Twilio坦承，他们发现骇客可经由一个未经身分验证的端点，辨识与Authy帐户有关的资料，包括电话号码在内。已经採取措施来保护该端点，不再允许未经身分验证的请求。

此外，Twilio也强调，并未有任何证据表明骇客取得了存取Twilio系统或其它机密资料的权限，但为了预防万一，要求所有Authy用户更新至最新的Android与iOS程序。Twilio说，虽然Authy帐户并未受到危害，但骇客可能会利用所取得的电话号码，针对Authy用户展开网钓攻击，提醒使用者提高警觉。