Bulut iletişim sağlayıcısı Twilio, kimliği belirsiz tehdit aktörlerinin Authy’deki kimliği doğrulanmamış bir uç noktadan yararlanarak kullanıcıların cep telefonu numaraları da dahil olmak üzere Authy hesaplarıyla ilişkili verileri tespit ettiğini ortaya çıkardı.
Şirket, kimliği doğrulanmamış isteklerin artık kabul edilmemesi için uç noktanın güvenliğini sağlamak amacıyla adımlar attığını söyledi.
Gelişme, ShinyHunters isimli bir çevrimiçi kişiliğin, Authy hesaplarından çekildiği iddia edilen 33 milyon telefon numarasından oluşan bir veritabanını BreachForums’da yayınlamasından birkaç gün sonra geldi.
2015’ten beri Twilio’nun sahibi olduğu Authy, hesap güvenliğine ek bir katman ekleyen popüler bir iki faktörlü kimlik doğrulama (2FA) uygulamasıdır.
1 Temmuz 2024 tarihli bir güvenlik uyarısında “Tehdit aktörlerinin Twilio’nun sistemlerine veya diğer hassas verilerine erişim sağladığına dair bir kanıt görmedik” denildi.
Ancak ihtiyaten kullanıcıların Android (sürüm 25.1.0 veya üzeri) ve iOS (sürüm 26.1.0 veya üzeri) uygulamalarını en son sürüme yükseltmeleri öneriliyor.
Ayrıca tehdit aktörlerinin Authy hesaplarıyla ilişkili telefon numaralarını kimlik avı ve smishing saldırıları için kullanmaya çalışabileceği konusunda uyarıldı.
“Tüm Authy kullanıcılarını dikkatli olmaya ve aldıkları metinler konusunda daha fazla farkındalık sahibi olmaya teşvik ediyoruz” denildi.