Geçtiğimiz hafta bir hacker, ABD’li mesajlaşma devi Twilio’dan 33 milyon telefon numarasını çaldığını iddia etmişti. Salı günü Twilio, TechCrunch’a “tehdit aktörlerinin” Twilio’ya ait popüler iki faktörlü kimlik doğrulama uygulaması Authy’yi kullanan kişilerin telefon numarasını tespit edebildiğini doğruladı.
Tanınmış bir hack forumunda yer alan bir paylaşımda ShinyHunters olarak bilinen hacker veya hackerlar, Twilio’yu hacklediklerini ve 33 milyon kullanıcının cep telefonu numaralarını ele geçirdiklerini yazdı.
Twilio sözcüsü Kari Ramirez, TechCrunch’a şunları söyledi: “Tehdit aktörlerinin, kimlik doğrulaması yapılmamış bir uç nokta nedeniyle telefon numaraları da dahil olmak üzere Authy hesaplarıyla ilişkili verileri tanımlayabildiklerini tespit etti. Bu uç noktayı güvence altına almak için harekete geçtik ve artık kimliği doğrulanmamış isteklere izin vermiyoruz.”
“Tehdit aktörlerinin Twilio’nun sistemlerine veya diğer hassas verilere erişim sağladığına dair hiçbir kanıt görmedik. Bir önlem olarak, tüm Authy kullanıcılarının en son güvenlik güncellemeleri için en son Android ve iOS uygulamalarına güncelleme yapmalarını rica ediyoruz ve tüm Authy kullanıcılarını dikkatli olmaya ve kimlik avı ve smishing saldırıları konusunda farkındalığı artırmaya teşvik ediyoruz,” diye yazdı Ramirez bir e-postada.
Twilio ayrıca Pazartesi günü resmi web sitesinde aynı açıklamayı içeren bir uyarı yayınladı.
Telefon numaralarının bir listesini elde etmek tek başına veri ihlallerinin en tehlikelisi gibi görünmese de bu numaraların sahipleri için hala bir tehdit oluşturabilir.
Sosyal mühendislik uzmanı Rachel Tobac, “Saldırganlar kullanıcıların telefon numaralarından oluşan bir listeyi numaralandırabilirse, bu saldırganlar bu kullanıcılara Authy/Twilio gibi davranabilir ve bu telefon numarasına yönelik kimlik avı saldırısının inandırıcılığını artırabilir” dedi. SocialProof Security’nin CEO’su TechCrunch’a söyledi.
Tobac, bilgisayar korsanlarının artık özellikle Authy kullanıcısı olduğunu bildikleri kişileri hedef alabileceklerini, böylece saldırganlara, kötü niyetli mesajlarının gerçekten Authy ve Twilio’dan geliyormuş gibi görünmesini sağlama şansı verebileceğini açıkladı.
2022’de Twilio, bir grup bilgisayar korsanının 100’den fazla şirket müşterisinin verilerine erişmesiyle daha büyük bir veri ihlaline maruz kaldı. Bu bilgilerle donanmış olan bilgisayar korsanları, daha sonra en az 130 şirketten yaklaşık 10.000 çalışanın kimlik bilgilerinin çalınmasıyla sonuçlanan geniş kapsamlı bir kimlik avı kampanyası başlattı. O zamanki bu ihlalin bir parçası olarak Twilio, bilgisayar korsanlarının 93 bireysel Authy kullanıcısını başarıyla hedeflediğini ve bu kurbanların Authy hesaplarına ek cihazlar kaydederek gerçek iki faktörlü kodları etkili bir şekilde çalmalarına olanak sağladığını söyledi.
Kaynak: https://techcrunch.com/2024/07/03/twilio-says-hackers-identified-cell-phone-numbers-of-two-factor-app-authy-users/