La scorsa settimana, un gruppo hacker ha dichiarato di aver rubato diversi milioni di numeri di telefono al colosso americano della messaggistica Twilio. In seguito, l'azienda ha confermato che gli hacker sono riusciti a identificare i numeri di telefono degli utenti di Authy, una popolare app di autenticazione a due fattori di proprietà di Twilio.
La conferma è arrivata con un post pubblicato su un forum dedicato all'hacking da un gruppo noto come "ShinyHunters", che ha dichiarato di aver violato Twilio e ottenuto i numeri di telefono di 33 milioni di utenti.
La portavoce di Twilio, Kari Ramirez ha confermato la violazione:
"l'azienda ha rilevato che attori ostili sono stati in grado di identificare i dati associati agli account Authy, inclusi i numeri di telefono, a causa di un endpoint non autenticato. Abbiamo preso provvedimenti per mettere in sicurezza questo endpoint e non permettiamo più richieste non autenticate."
Ramirez ha poi specificato che, nonostante l'attacco, gli hacker non hanno ottenuto accesso a dati sensibili che vanno oltre i numeri di telefono degli utenti registrati.
"Non abbiamo visto prove che gli attori ostili abbiano ottenuto accesso ai sistemi di Twilio o ad altri dati sensibili. Come precauzione, stiamo richiedendo a tutti gli utenti di Authy di aggiornare le app Android e iOS all'ultima versione per gli aggiornamenti di sicurezza più recenti e incoraggiamo tutti gli utenti di Authy a rimanere vigili e ad avere una maggiore consapevolezza degli attacchi di phishing e smishing,"
Lo scorso lunedì, Twilio ha anche pubblicato un avviso sul suo sito ufficiale dichiarando quanto riportato qui sopra.
Anche se il furto di numeri telefonici può sembrare un data breach di minore importanza, potrebbe comunque rappresentare una minaccia per i proprietari di quei numeri esponendoli a spam e phishing.
Rachel Tobac, esperta di ingegneria sociale e CEO di SocialProof Security, afferma che:
"Se gli attaccanti sono in grado di enumerare una lista di numeri di telefono degli utenti, allora quegli attaccanti possono fingere di essere Authy/Twilio per quegli utenti, aumentando la credibilità di un attacco di phishing verso quel numero di telefono."
Tobac ha sottolineato che ora gli hacker possono mirare specificamente agli utenti di Authy, dando loro la possibilità di far sembrare che i loro messaggi malevoli provengano realmente da Authy e Twilio.