
云端通讯平台Twilio本周发布安全警告,并更新了Android版与iOS版的Twilio Authy程序。根据TechCrunch的报导,知名骇客集团ShinyHunters宣称已成功骇入Twilio,并取得3,300万名Authy用户的电话号码。
成立于2008年的Twilio为美国上市公司,为一云端通讯平台供应商,让开发人员能够将各种通讯功能整合到应用程序中,除了多元的通讯API之外,Twilio亦提供客服平台Twilio Flex、Twilio IoT与Super SIM物联网解决方案,以及Authy等多因素身分验证解决方案。此次出问题的即是Authy。
安装了Authy之后,使用者可于装置上生成双因素身分验证的权杖,Authy也提供云端备份服务,支援装置同步功能,并可离线生成权杖,相容于脸书、Dropbox、Amazon及Gmail等支援多因素身分验证的数千种应用。
本周Twilio坦承,他们发现骇客可经由一个未经身分验证的端点,辨识与Authy帐户有关的资料,包括电话号码在内。已经採取措施来保护该端点,不再允许未经身分验证的请求。
此外,Twilio也强调,并未有任何证据表明骇客取得了存取Twilio系统或其它机密资料的权限,但为了预防万一,要求所有Authy用户更新至最新的Android与iOS程序。Twilio说,虽然Authy帐户并未受到危害,但骇客可能会利用所取得的电话号码,针对Authy用户展开网钓攻击,提醒使用者提高警觉。