Twilio hat bestätigt, dass ein ungesicherter API-Endpunkt es Angreifern ermöglichte, die Telefonnummern von Millionen Authy-Nutzern der Multi-Faktor-Authentifizierung (MFA) zu verifizieren. Dadurch könnten diese Nutzer potenziell anfällig für SMS-Phishing und SIM-Swapping-Angriffe werden.

Hintergrund zu Authy

Authy ist eine mobile App, die MFA-Codes für Websites generiert, auf denen MFA aktiviert ist. Ende Juni veröffentlichte ein Bedrohungsakteur namens ShinyHunters eine CSV-Textdatei, die angeblich 33 Millionen Telefonnummern enthält, die bei Authy registriert sind.

Details zum Datenleck

Die CSV-Datei enthält 33.420.546 Zeilen, jede mit einer Kontonummer, Telefonnummer, einer „over_the_top“-Spalte, dem Konto-Status und der Geräteanzahl. Twilio hat nun bestätigt, dass die Liste der Telefonnummern durch die Nutzung eines nicht authentifizierten API-Endpunkts erstellt wurde.

„Twilio hat festgestellt, dass Bedrohungsakteure aufgrund eines nicht authentifizierten Endpunkts Daten zu Authy-Konten, einschließlich Telefonnummern, identifizieren konnten. Wir haben Maßnahmen ergriffen, um diesen Endpunkt zu sichern und keine nicht authentifizierten Anfragen mehr zuzulassen“, erklärte Twilio.

„Es gibt keine Hinweise darauf, dass die Bedrohungsakteure Zugang zu Twilios Systemen oder anderen sensiblen Daten erhalten haben. Vorsorglich bitten wir alle Authy-Nutzer, auf die neuesten Android- und iOS-Apps zu aktualisieren und wachsam gegenüber Phishing- und Smishing-Angriffen zu sein.“

Missbrauch ungesicherter APIs

BleepingComputer erfuhr, dass die Daten durch das Eingeben einer großen Liste von Telefonnummern in den ungesicherten API-Endpunkt zusammengestellt wurden. Wenn die Nummer gültig war, gab der Endpunkt Informationen über die zugehörigen Authy-Konten zurück.

Nun, da die API gesichert ist, kann sie nicht mehr missbraucht werden, um zu überprüfen, ob eine Telefonnummer bei Authy verwendet wird.

Diese Technik ähnelt dem Missbrauch ungesicherter APIs von Twitter und Facebook, um Profile von Millionen Nutzern zu erstellen, die sowohl öffentliche als auch nicht öffentliche Informationen enthalten.

Obwohl der Authy-Scrape nur Telefonnummern enthielt, können diese dennoch von Angreifern genutzt werden, um Smishing- und SIM-Swapping-Angriffe durchzuführen, um Konten zu kompromittieren.

ShinyHunters deutete dies in ihrem Beitrag an und schlug vor, dass Bedrohungsakteure die Liste der Telefonnummern mit denen aus angeblichen Gemini- und Nexo-Datenlecks vergleichen könnten.

Empfohlene Maßnahmen

Twilio hat ein neues Sicherheitsupdate veröffentlicht und empfiehlt Nutzern, auf Authy Android (v25.1.0) und iOS App (v26.1.0) zu aktualisieren, die Sicherheitsupdates enthalten. Es ist unklar, wie dieses Sicherheitsupdate Nutzer vor Bedrohungsakteuren schützt, die die gescrapten Daten für Angriffe verwenden.

Authy-Nutzer sollten auch sicherstellen, dass ihre Mobilfunkkonten so konfiguriert sind, dass Nummernübertragungen ohne Passcode blockiert werden, oder Sicherheitsprotokolle deaktivieren.

Zusätzlich sollten Authy-Nutzer auf mögliche SMS-Phishing-Angriffe achten, die versuchen, sensiblere Daten wie Passwörter zu stehlen.

In einem scheinbar nicht zusammenhängenden Vorfall hat Twilio auch mit dem Versenden von Datenverletzungsbenachrichtigungen begonnen, nachdem ein ungesicherter AWS S3-Bucket eines Drittanbieters SMS-bezogene Daten offengelegt hatte, die über das Unternehmen gesendet wurden.