美國雲端通訊巨頭Twilio週三向證實遭駭,根據TechCrunch的報導,名為ShinyHunters的駭客在知名駭客論壇上的貼文表示,他們入侵了Twilio,能夠識別與Authy (Twilio旗下流行的雙重認證應用程式) 帳戶相關的數據,並取得3,300萬名Authy用戶的電話號碼。Twilio強調Authy帳戶並未受到入侵,然而駭客可能嘗試使用與Authy帳戶關聯的電話號碼進行網路釣魚和簡訊攻擊。
2022年,Twilio遭受了更大規模的資料洩漏,當時一群駭客存取了100多家公司的客戶資料。隨後,駭客發起了大規模的網路釣魚活動,導致至少130家公司的約10,000份員工憑證被盜。Twilio表示,作為當時入侵的一部分,駭客成功瞄準了93名Authy用戶,並能夠在這些受害者的Authy帳戶上註冊其他設備,使他們能夠有效竊取真正的雙因素代碼。
網路安全專家Rachel Tobac向TechCrunch表示 : 「如果攻擊者可以列舉用戶的電話號碼列表,那麼這些攻擊者就可以對這些用戶冒充Authy / Twilio ,從而增加對該電話號碼進行網路釣魚攻擊的可信度。」
Twilio發言人Kari Ramirez 告訴TechCrunch,該公司「已偵測到,由於端點未經身份認證,駭客能夠識別與Authy帳戶相關的數據,包括電話號碼。我們已採取措施保護此端點,不再允許未經身份驗證的請求。」
7 月 1 日,Twilio也在其官方網站上發布了警告,其中包括一封電子郵件中相同的聲明:「我們沒有看到任何證據表明駭客獲得了Twilio系統或其他敏感資料的存取權限。作為預防措施,我們要求所有Authy用戶(在您運行的任何裝置上)更新到最新的Android和iOS應用程式以獲得最新的安全更新,我們鼓勵所有Authy用戶保持警惕,並對接收到的簡訊提高警覺。」
竣盟科技提醒Authy用戶,多種最佳實踐可以幫助降低因資料外洩而遭受網路釣魚攻擊的風險:
- 定期更新軟體:定期更新應用程式可確保修補任何已知漏洞,從而更好地防止潛在的漏洞。
- 對未經請求的訊息持懷疑態度:使用者應警惕未經請求的訊息,尤其是那些要求提供個人資訊或敦促他們立即採取行動的訊息。
- 驗證真實性:如果訊息聲稱來自 Authy 或 Twilio 等合法服務,使用者應在採取任何操作之前透過官方管道驗證其真實性。
- 啟用額外的安全措施:在可能的情況下,啟用額外的安全功能(例如生物辨識身分驗證或基於硬體的雙重認證)可以提供額外的保護層。
- 自學網路釣魚策略:了解常見的網路釣魚策略以及如何識別它們可以顯著降低陷入此類計劃的可能性。