La scorsa settimana, degli hacker noti come ShinyHunters hanno dichiarato di aver rubato 33 milioni di numeri di telefono dal gigante della messaggistica statunitense Twilio. Martedì, Twilio ha confermato a TechCrunch che i ladri sono riusciti a rubare i numeri di telefono degli utenti di Authy, una popolare app di autenticazione a due fattori di proprietà di Twilio.
Kari Ramirez, portavoce di Twilio, ha dichiarato che la compagnia ha rilevato che gli intrusi sono riusciti a rubare diversi dati associati agli account Authy, come i numeri di telefono. L’azienda, però, sostiene anche di aver scoperto la falla del sistema e preso provvedimenti per mettere in sicurezza questo buco.
Non ci sono prove che gli hacker abbiano ottenuto accesso ai sistemi di Twilio o ad altri dati sensibili. Tuttavia, Twilio ha chiesto a tutti gli utenti Authy di aggiornare le app Android e iOS per le ultime novità di sicurezza e ha incoraggiato tutti gli utenti Authy a rimanere vigili e attenti a potenziali attacchi di phishing.
Rachel Tobac, esperta di social engineering e CEO di SocialProof Security, ha spiegato che essere in possesso di questi numeri di telefono potrebbe aumentare la credibilità degli attacchi di phishing, poiché gli hacker possono fingere di essere Authy/Twilio.
Non è la prima volta che Twilio ha di questi problemi: nel 2022 un gruppo di hacker ha avuto accesso ai dati di più di 100 clienti della compagnia, lanciando una vasta campagna di phishing che ha portato al furto di circa 10.000 credenziali di dipendenti di almeno 130 aziende.
Durante quella violazione, gli hacker sono riusciti a prendere di mira 93 utenti di Authy e a registrare dispositivi aggiuntivi sui loro account, una cosa che ha consentito loro di superare l’autenticazione a due fattori.
