A empresa de comunicação em nuvem Twilio confirmou que um invasor não autorizado obteve acesso ao número de telefone de usuários do popular aplicativo de verificação em dois fatores Authy. Ao todo, 33 milhões de pessoas tiveram as informações roubadas.
O responsável pela invasão foi o cibercriminoso conhecido pelo nome de ShinyHunters, que pode ser também um grupo de hackers. Na última semana, ele publicou em fóruns especializados que teve acesso aos números de telefone, mas só agora a empresa reconheceu a exploração da vulnerabilidade.
Os dados coletados não incluem outras informações cadastrais e, sozinhas, nem são capazes de comprometer contas que usam a dupla camada de autenticação.
Porém, com os telefones em mãos, pessoas mal intencionadas podem aplicar golpes como phishing de forma mais sofisticada — escalando para algo conhecido como “spear phishing” ou “phishing direcionado”. Elas podem se passar por funcionários do Authy, por exemplo, por saberem que a vítima em questão é cliente do aplicativo.
O que diz a empresa
“A Twilio detectou que os agentes conseguiram identificar dados associados às contas Authy, incluindo números de telefone, devido a um ponto de acesso não autenticado. Tomamos medidas para proteger este canal de comunicação e não permitir mais solicitações não autenticadas”, disse a companhia em uma nota oficial publicada no site do app.
Até o momento, a Twilio não confirmou que tipo de falha de segurança foi explorada. Além disso, ela alega que os sistemas da companhia seguem seguros.
A interface do Authy para celular. (Imagem: Google Play Store/Divulgação)Fonte: Google Play Store
A desenvolvedora recomenda, porém, que usuários do Authy para Android e iOS atualizem os aplicativos para a versão mais recente em tablets e celulares.
Esse já é o segundo ano em que a empresa é alvo de um ciberataque que resulta no roubo de dados. Em 2022, em um crime mais grave, credenciais de clientes corporativos foram acessados e algumas contas chegaram a ser acessadas sem autorização.