Hackers logran identificar números de teléfono móvil de usuarios de la app de doble autenticación Authy, según Twilio

La semana pasada, un hacker afirmó haber robado 33 millones de números de teléfono de Twilio, el gigante estadounidense de mensajería. El martes, Twilio confirmó a TechCrunch que "actores de amenazas" lograron identificar el número de teléfono de personas que utilizan Authy, una popular aplicación de autenticación de dos factores propiedad de Twilio. En un post en un reconocido foro de hacking, el hacker o hackers conocidos como ShinyHunters escribieron que habían hackeado Twilio y obtenido los números de teléfono celular de 33 millones de usuarios. Kari Ramirez, portavoz de Twilio, informó a TechCrunch que la compañía "ha detectado que los actores de amenazas pudieron identificar datos asociados con cuentas de Authy, incluidos los números de teléfono, debido a un punto final no autenticado. Hemos tomado medidas para asegurar este punto final y ya no permitimos solicitudes no autenticadas." "No hemos visto evidencia de que los actores de amenazas hayan obtenido acceso a los sistemas de Twilio u otros datos sensibles. Como precaución, estamos solicitando a todos los usuarios de Authy que actualicen a las últimas aplicaciones de Android e iOS para recibir las últimas actualizaciones de seguridad y alentamos a todos los usuarios de Authy a permanecer diligentes y estar más alerta ante los ataques de phishing y smishing," escribió Ramirez en un correo electrónico. Twilio también publicó una alerta en su sitio web oficial el lunes, con la misma declaración. Aunque obtener una lista de números de teléfono, por sí sola, puede que no parezca la brecha de datos más peligrosa, aún podría representar una amenaza para los propietarios de esos números. "Si los atacantes pueden enumerar una lista de números de teléfono de usuarios, entonces esos atacantes pueden hacerse pasar por Authy/Twilio ante esos usuarios, aumentando la credibilidad en un ataque de phishing a ese número de teléfono," Rachel Tobac, experta en ingeniería social y CEO de SocialProof Security, dijo a TechCrunch. Tobac explicó que ahora los hackers pueden dirigirse específicamente a personas que saben que son usuarios de Authy, dando a los atacantes la oportunidad de hacer que sus mensajes maliciosos parezcan realmente provenir de Authy y Twilio. En 2022, Twilio sufrió una brecha de datos más grande, cuando un grupo de hackers accedió a los datos de más de 100 clientes de la empresa. Armados con esa información, los hackers lanzaron una amplia campaña de phishing que resultó en el robo de alrededor de 10,000 credenciales de empleados de al menos 130 compañías. Como parte de esa brecha en ese momento, Twilio dijo que los hackers apuntaron con éxito a 93 usuarios individuales de Authy y pudieron registrar dispositivos adicionales en las cuentas de Authy de esas víctimas, lo que les permitió robar efectivamente códigos reales de dos factores.