Twilio, sonunda Authy for Desktop uygulamasını sonlandırdı ve kullanıcıları masaüstü uygulamasından zorla çıkardı.
Twilio, Ocak ayında Windows, macOS ve Linux için Authy masaüstü uygulamalarının 19 Mart 2024’te kullanım ömrünün sonuna ulaşacağını ve Ağustos 2024’te kullanımdan kaldırılacağını duyurdu.
Masaüstü uygulamaları Mart ayından bu yana çalışmaya devam ederken, açıldığında programın kullanım ömrünün sona erdiğini ve kullanıcıların derhal mobil sürümlere geçmeleri gerektiğini belirten bir uyarı gösteriliyordu.
Bu durum, Twilio’nun tüm masaüstü cihazlarındaki Authy hesaplarından zorla çıkış yapması ve artık telefon numaralarıyla tekrar giriş yapmalarına izin vermemesiyle yaklaşık on üç gün önce sona erdi.
Tüm uyarılara rağmen Masaüstü için Authy kullanmaya devam edenler, daha önce mobil cihazlarıyla senkronize etmedikleri takdirde 2FA hesaplarının kaybolduğunu gördüler.
Ancak masaüstü uygulamalarını mobil versiyonlarıyla senkronize edenler, bazı token’larının doğru şekilde senkronize edilmediğini ve bu nedenle ortak hesaplarına erişilemediğini keşfettiler.
Haziran ayında, tehdit aktörleri bir telefon numarasının geçerli bir hesapla ilişkili olup olmadığını doğrulamak için kullanılabilecek güvenli olmayan bir Authy API buldular.
Tehdit grupları API’ye milyonlarca telefon numarası girerek Authy’de 33 milyon telefon numarasının profillerini oluşturdular ve bu profiller daha sonra bir bilgisayar korsanlığı forumunda sızdırıldı.
Twilio, API’yi güvence altına alarak ve güncellenmiş bir mobil uygulama sürümü yayınlayarak hatayı düzeltti. Bazıları, masaüstü uygulamasının API için yeni düzeltmeyle güncellenmemesi nedeniyle Authy masaüstü kullanıcılarının oturum açamadığına inanıyor.
Ancak Authy, Haziran ayında 3.0 sürümünü yayınlayarak bunun masaüstü sürümünün son sürümü olacağını ve bir başkasını görmemizin pek mümkün olmayacağını duyurdu.
BleepingComputer, masaüstü için Authy’nin sonlanmasıyla ilgili sorular için Twilio ile iletişime geçti ancak hemen bir yanıt alınamadı.