Na semana passada, um hacker alegou ter roubado 33 milhões de números de telefone da gigante de mensagens dos EUA Twilio. Na terça-feira, a Twilio confirmou ao TechCrunch que “atores de ameaças” conseguiram identificar o número de telefone de pessoas que usam o Authy, um aplicativo popular de autenticação de dois fatores de propriedade da Twilio.
Em uma postagem em um conhecido fórum de hackers, o hacker ou hackers conhecidos como ShinyHunters escreveram que hackearam o Twilio e obtiveram os números de celular de 33 milhões de usuários.
O porta-voz da Twilio, Kari Ramirez, disse ao TechCrunch que a empresa “detectou que os agentes de ameaças conseguiram identificar dados associados às contas Authy, incluindo números de telefone, devido a um endpoint não autenticado. Tomamos medidas para proteger esse endpoint e não permitimos mais solicitações não autenticadas.”
“Não vimos nenhuma evidência de que os agentes da ameaça obtiveram acesso aos sistemas da Twilio ou outros dados confidenciais. Como precaução, estamos solicitando que todos os usuários do Authy atualizem para os aplicativos Android e iOS mais recentes para as últimas atualizações de segurança e encorajamos todos os usuários do Authy a permanecerem diligentes e terem maior conscientização sobre ataques de phishing e smishing”, escreveu Ramirez em um e-mail.
Twilio também publicou um alerta em seu site oficial na segunda-feira, incluindo a mesma declaração.
Embora obter uma lista de números de telefone — por si só — possa não parecer a mais perigosa das violações de dados, ainda pode representar uma ameaça aos proprietários desses números.
“Se os invasores conseguirem enumerar uma lista de números de telefone dos usuários, eles poderão fingir ser Authy/Twilio para esses usuários, aumentando a credibilidade de um ataque de phishing a esse número de telefone”, disse Rachel Tobac, especialista em engenharia social e CEO da SocialProof Security, ao TechCrunch.
Tobac explicou que agora os hackers podem mirar especificamente em pessoas que eles sabem que são usuários do Authy, dando aos invasores uma chance de fazer parecer que suas mensagens maliciosas realmente vêm do Authy e do Twilio.
Em 2022, a Twilio sofreu uma violação de dados maior, quando um grupo de hackers acessou os dados de mais de 100 clientes da empresa. Armados com essas informações, os hackers então lançaram uma ampla campanha de phishing que resultou no roubo de cerca de 10.000 credenciais de funcionários de pelo menos 130 empresas. Como parte dessa violação na época, a Twilio disse que os hackers atingiram com sucesso 93 usuários individuais do Authy e conseguiram registrar dispositivos adicionais nas contas Authy dessas vítimas, permitindo que roubassem efetivamente códigos reais de dois fatores.
