Çok faktörlü kimlik doğrulama ihtiyaçlarınız için Authy kullanıyor musunuz? Kullanıyorsanız, kimlik avı girişimlerine karşı dikkatli olmalı ve SIM takas saldırılarına karşı savunmalar uygulamalısınız.
Ne oldu?
Authy MFA mobil uygulamasını geliştiren şirket olan Twilio, 1 Temmuz’da saldırganların kimliği doğrulanmamış API uç noktalarından birini kullanarak Authy kullanıcılarına ait telefon numaraları ve diğer verileri içeren bir liste derlediğini kamuoyuyla paylaştı.
Twilio, şirket sistemlerinin ihlal edilmediğini ve Authy hesaplarının tehlikeye atılmadığını söyledi ancak şirket, “tehdit aktörlerinin kimlik avı ve smishing saldırıları için Authy hesaplarıyla ilişkili telefon numarasını kullanmaya çalışabileceği” konusunda uyardı.
Görünen o ki 33 milyon Authy kullanıcısına ait verileri barındıran liste, şirketlere sızma ve müşterilerinin verilerini çalma, ardından fidye için tutma ve/veya siber suçluların bulunduğu forumlarda ve pazarlarda en yüksek teklifi verene satma konusunda uzmanlaşmış bir tehdit grubu olan ShinyHunters tarafından satışa sunuldu.
Grup, Authy listesinin kripto para borsaları Gemini ve Nexo’dan çalınan müşteri veri tabanlarıyla çapraz referanslanmasını öneriyor; böylece alıcılar, kullanıcıların kripto para birikimine ulaşmak için son derece hedefli kimlik avı veya SIM kart değişikliği yapabilecek.
Twilio ayrıca tüm Authy kullanıcılarından “önlem olarak” ve en son güvenlik güncellemelerini edinmenin bir yolu olarak en son Android (v25.1.0) ve iOS (v26.1.0) uygulamalarına güncelleme yapmalarını istedi, ancak bunun sizi kimlik avı saldırılarına karşı korumak için hiçbir şey yapmadığını bilmelisiniz. Bu nedenle daha dikkatli olmanız önerilir.
API uç noktalarının kullanımı
API uç noktalarını veri toplama ve doğrulama için kötüye kullanmak hem meşru şirketler (örneğin, pazarlama amaçları için) hem de siber suçlular tarafından yapılır, çünkü bu uygulama teknik olarak yasa dışı değildir. API’lerin sahipleri, onları kötüye kullanıma karşı korumalıdır.
Ancak defalarca, güvenliği sağlanmamış, herkese açık API’ler kötüye kullanılarak, hesapları ele geçirmek için kullanılabilecek veriler de dahil olmak üzere her türlü kullanıcı verisi toplanıyor.
Authy’nin durumunda, güvenli olmayan API noktası, (muhtemelen) çok sayıda telefon numarasıyla donatılmış saldırganların, bu listeyi kısaltmalarına ve diğer suçlular için çok faydalı olabilecek bir liste oluşturmalarına yardımcı oldu.
MFA’da dolaşmak
Authy ile ilgili uyarıdan birkaç gün sonra Twilio, müşterilerine, yedek taşıyıcısı iBasis’in alt taşıyıcısı (2FA-SMS “dağıtıcısı”) olan IdentifyMobile’ın “istemeden belirli SMS ile ilgili verileri internette kamuya açık hale getirdiğini” açıklayan bir bildirim gönderdi – özellikle, Mayıs 2024’te bir AWS S3 kovasını beş gün boyunca kamuya açık hale getirerek.
Sorun, tanınmış bir güvenlik araştırma grubu olan Chaos Computing Club tarafından keşfedildi. Kulüp, 200’den fazla şirket tarafından gönderilen ve tek kullanımlık şifreler içeren 200 milyondan fazla kısa mesajın, nereye bakacağını bilen herkes tarafından erişilebilir olduğunu söyledi.
Grup, “CCC doğru zamanda doğru yerdeydi ve verilere erişti” dedi.
“’idmdatastore’ alt alan adını tahmin etmek yeterliydi. SMS içeriğinin yanı sıra, alıcıların telefon numaraları, gönderici adları ve bazen diğer hesap bilgileri de görülebiliyordu.”
Twilio, bu güvenlik ihmalinden yalnızca birkaç belirli ülkedeki müşterilerin etkilenmiş olabileceğini söylerken, (yaptıkları soruşturma sonucunda) kişisel verilerini içeren mesajların ifşa edilmediğine inandıklarını da belirtti.
Amazon, Microsoft, DHL, Google, Airbnb gibi şirketler tarafından gönderilen mesajlar da erişilebilirdi ve kötü niyetli saldırganların hizmetlere giriş yapmasına ve hesapları ele geçirmesine, finansal işlemler gerçekleştirmesine vb. yardımcı olabilirdi – ilk kimlik doğrulama faktörüne (bir parola) sahip olmaları şartıyla. Ancak araştırmacıların belirttiği gibi, “1 tıklamayla giriş” bağlantıları da verilere dahil edildi ve bu da potansiyel saldırganların parola gereksinimini görmezden gelmelerine olanak sağladı.
“Bazı büyük etkilenen şirketler için, yalnızca bireysel hizmetler IdentifyMobile tarafından korundu. Yine de, IdentifyMobile’ın ihmali şirketleri ve müşterilerini önemli risklere maruz bıraktı. Bu, dünya çapındaki veri koruma departmanlarından gelen ve artık tüm kanallardan bize ulaşan çok sayıda benzer sorgudan da anlaşılıyor,” diye eklediler.
“Verileri saklamadığımızı teyit etmekten mutluluk duyuyoruz. Ancak başkalarının erişmiş olma ihtimalini de göz ardı edemeyiz.”