Twilio, güvenli olmayan bir API uç noktasının tehdit aktörlerinin milyonlarca Authy çok faktörlü kimlik doğrulama kullanıcısının telefon numaralarını doğrulamasına olanak tanıdığını ve bu kullanıcıların SMS kimlik avı ve SIM kart değiştirme saldırılarına karşı savunmasız hale gelmelerine neden olabileceğini doğruladı.
Authy, MFA’nın etkinleştirildiği web sitelerinde çok faktörlü kimlik doğrulama kodları üreten bir mobil uygulamadır.
Haziran ayı sonlarında ShinyHunters isimli bir tehdit grubu, Authy servisine kayıtlı olduğunu iddia ettikleri 33 milyon telefon numarasını içeren bir CSV metin dosyasını sızdırdı.
CSV dosyası, her biri bir hesap kimliği, telefon numarası, bir “over_the_top” sütunu, hesap durumu ve cihaz sayısını içeren 33.420.546 satır içeriyor.
Twilio, BleepingComputer’a tehdit aktörlerinin telefon numaralarının listesini kimliği doğrulanmamış bir API uç noktası kullanarak derlediğini doğruladı.
“Twilio, tehdit aktörlerinin kimliği doğrulanmamış bir uç nokta sayesinde telefon numaraları da dahil olmak üzere Authy hesaplarıyla ilişkili verileri tespit edebildiğini tespit etti. Bu uç noktayı güvence altına almak ve kimliği doğrulanmamış isteklere artık izin vermemek için harekete geçtik,” dedi Twilio BleepingComputer’a.
“Tehdit aktörlerinin Twilio’nun sistemlerine veya diğer hassas verilere erişim sağladığına dair hiçbir kanıt görmedik. Önlem olarak, tüm Authy kullanıcılarından en son güvenlik güncellemeleri için en son Android ve iOS uygulamalarına güncelleme yapmalarını rica ediyoruz ve tüm Authy kullanıcılarını dikkatli olmaya ve kimlik avı ve smishing saldırıları konusunda daha fazla farkındalık sahibi olmaya teşvik ediyoruz.”
Güvenli olmayan API’leri kötüye kullanma
BleepingComputer, verilerin büyük bir telefon numarası listesinin güvenli olmayan API uç noktasına beslenerek derlendiğini öğrendi. Numara geçerliyse, uç nokta Authy’ye kayıtlı ilişkili hesaplar hakkında bilgi döndürecekti.
Artık API güvenli hale getirildiğine göre, Authy ile bir telefon numarasının kullanılıp kullanılmadığını doğrulamak için kötüye kullanılamayacak.
Bu teknik, tehdit aktörlerinin güvenli olmayan bir Twitter API’sini ve Facebook API’sini kötüye kullanarak on milyonlarca kullanıcının hem herkese açık hem de gizli bilgilerini içeren profillerini derlemesine benziyor.
Authy verileri yalnızca telefon numaralarını içeriyor olsa da, hesaplara sızmak için smishing ve SIM kart değiştirme saldırıları düzenlemek isteyen kullanıcılar için hâlâ avantajlı olabilir.
ShinyHunters da gönderisinde buna değinerek, “Sizler de Gemini veya Nexo veritabanından katılabilirsiniz” diyor ve tehdit aktörlerinin telefon numaralarının listesini, iddia edilen Gemini ve Nexo veri ihlallerinde sızdırılan numaralarla karşılaştırmasını öneriyor.
Eşleşmeler bulunursa, tehdit aktörleri kripto para borsası hesaplarına sızmak ve tüm varlıkları çalmak için SIM kart değiştirme saldırıları veya kimlik avı saldırıları gerçekleştirmeyi deneyebilir.
Twilio artık yeni bir güvenlik güncellemesi yayınladı ve kullanıcıların güvenlik güncellemelerini içeren Authy Android (v25.1.0) ve iOS App (v26.1.0)’a yükseltmelerini öneriyor. Bu güvenlik güncellemesinin, saldırılarda kazınmış verileri kullanan tehdit aktörlerinden kullanıcıları nasıl koruduğu belirsiz.
Authy kullanıcıları ayrıca mobil hesaplarının, parola girmeden veya güvenlik korumalarını kapatmadan numara transferlerini engelleyecek şekilde yapılandırıldığından emin olmalıdır.
Ayrıca Authy kullanıcıları, şifreler gibi daha hassas verileri çalmayı deneyen potansiyel SMS kimlik avı saldırılarına karşı dikkatli olmalıdır.