A finales de junio el grupo de piratas informáticos ShinyHunters anunció en la nueva versión del foro de hackers BreachForums que estaban filtrando 33 millones de números de teléfono aleatorios vinculados con la aplicación de autenticación de dos factores de Twilio, Authy.
Dicha filtración también incluía IDs de cuentas y otros datos no personales asociados a los usuarios de esta herramienta.
Twilio ha compartido una alerta de seguridad a través de su página web en la que ha confirmado la brecha de seguridad.
“Twilio ha detectado que los actores de amenazas pudieron identificar datos asociados con cuentas de Authy, incluyendo números de teléfono, gracias a un endpoint no autenticado. Hemos tomado medidas para protegerlo y ya no permitir solicitudes no autenticadas”, ha comentado la empresa a través de un comunicado.
Aunque Twilio no ha hallado evidencias de que los piratas informáticos hayan obtenido acceso a sus sistemas o a otros datos confidenciales, como precaución han instado a los usuarios de Authy a que instalen las últimas actualizaciones de seguridad de iOS y Android, las cuales solucionan errores.
“Si bien las cuentas de Authy no se ven comprometidas, los actores de amenazas pueden intentar usar el número de teléfono asociado con las mismas para ataques de phishing y smishing. Por ello, alentamos a todos los usuarios de Authy a que sean diligentes y tengan mayor conciencia sobre los mensajes de texto que están recibiendo”, han comentado desde Twilio.
No ha confirmado el número de víctimas
La compañía también reconoce que sabe que la seguridad de sus sistemas "es una parte importante para ganar y mantener su confianza. Le pedimos disculpas sinceras por lo ocurrido. Además, se ha comprometido a publicar las actualizaciones si hay algún cambio a través de su equipo de respuesta a incidentes de seguridad.
En su post la empresa no ha mencionado quiénes son los autores del incidente, cómo se produjo el incidente o cuántas víctimas hay en total.
Twilio ya sufrió otra brecha de datos hace un par de años. En agosto de 2022 la compañía de comunicaciones reconoció haber experimentado un ataque de phishing exitoso que tuvo como víctimas a algunos de sus empleados.