Ya hemos hablado con anterioridad acerca de Authy, una de las aplicaciones de autenticación en dos pasos (2FA) más populares. Al igual que otras aplicaciones del mismo estilo, Authy se encarga de generar los códigos que tenemos que utilizar para acceder a las plataformas en las que hemos configurado la verificación en dos pasos.
Tal y como hemos podido leer en TechCrunch, la compañía responsable de la aplicación (Twilio) ha publicado un comunicado en su página web en el que afirma que un grupo de atacantes ha logrado identificar datos asociados a las cuentas de usuario de Authy, incluyendo los números de teléfono.
ShinyHunters afirma tener en su poder 33 millones de números de teléfono asociados a Authy
Al parecer, el grupo responsable es ShinyHunters, que recientemente se atribuía también la responsabilidad del ataque a Ticketmaster del que hablamos a principios del pasado mes de junio. Apenas unos días antes de que Twilio publicase el comunicado en su página web, ShinyHunters afirmaba en un foro tener un listado de 33 millones de teléfonos de usuarios de Authy.
Según leemos en el comunicado publicado por la compañía, Twilio afirma que los responsables lograron identificar datos asociados a las cuentas de Authy, incluyendo los números de teléfono de los usuarios. Al parecer, consiguieron identificar los números asociados a la aplicación explotando un endpoint no autenticado.
Tal y como explican desde Bleeping Computer (un medio de comunicación especializado en ciberseguridad), ShinyHunters alimentó la API con un listado de números de teléfono obtenido por otros medios. Al introducir un número válido (es decir, un número de teléfono asociado a Authy), la API confirmaba que el número era válido, lo que permite saber que ese número está registrado en la aplicación.
Twilio ha confirmado que ya ha solucionado el problema, pero advierte que quien tenga los números de teléfono en su poder podría utilizarlos para realizar ataques de phishing. La compañía explica que no hay evidencias que indiquen que los sistemas de Twilio se hayan visto comprometidos.
Si eres usuario de Authy, la compañía recomienda actualizar la app (disponible tanto en iOS como en Android) para obtener las últimas mejoras de seguridad. Además, es importante extremar las precauciones en caso de recibir algún mensaje de texto sospechoso a lo largo de los próximos meses.
Vía | TechCrunch y Bleeping Computer
Imagen de portada | Xataka Móvil
En Xataka Móvil | Adiós al 123456, tu móvil puede ayudarte a crear (y recordar) contraseñas fuertes. Así se hace
Ver 0 comentarios