悪意のある俳優は、2要素認証サービスAuthyのユーザーが使用する3,300万件以上の電話番号を盗むことができました。
Authyは、アプリやオンラインサービスの認証コードを管理するための一般的なセキュリティアプリケーションです。これらは、コードを認証の第2段階に入力する必要があるため、サインインのセキュリティを追加します。
ここに重要なポイントがあります:
- 脅威アクターは、3300万人の電話番号を含むCSVテキストファイルを漏らしました。
- このリストは、不適切に保護されたAPIエンドポイントを介して取得されました。
- 攻撃者はAPIに多数の電話番号を供給して、AUTYシステムに知られているものを調べました。
- 攻撃者は、SMSフィッシングまたはSIMスワッピング攻撃で電話番号を使用できます。
Authyの親会社であるTwilioは、データの信頼性とハックを確認しましたブリーディングコンピュータ。
同社は、攻撃で使用されるエンドポイントを確保したことを明らかにしました。さらに、AndroidとiOSのアップデートを予防策としてリリースしました。
影響を受けるユーザーができること
Authyの顧客は、電話番号がリークに含まれているかどうかを調べることができません。脅威の関係者は電話番号だけで何もできないため、直接的な脅威はありません。
ただし、攻撃は可能です。
- SMS攻撃ユーザーに認証コードを共有したり、マルウェアをデバイスにダウンロードしたりします。
- Sim Swapping Attacks、追加の個人情報が必要です。これらには、被害者の携帯電話プロバイダーが含まれます。
攻撃者は、オンライン検索または他のデータベースを使用して、電話番号を所有者にリンクできます。
AUTHYのデータはこの時点で安全です。ただし、これは最初の事件ではありません。 2022年に、Twilioはデータ侵害に苦しんでいることを確認しました。
これが、過去数年間で一連のハッキングや問題に苦しんだパスワード管理サービスであるLastPassを思い出させる場合、あなたは完全に間違っているわけではありません。
Authyは輸出をサポートしていないため、移行は簡単ではありません。 a回避策デスクトップアプリの古いバージョンを使用するが、Authyがデスクトッププログラムを中止しているため、すぐに機能しない場合があります。
他の唯一のオプションは、データを手動で移行することです。これには、次の手順が含まれます。
- CODEが生成されるサービスにサインインします。
- 設定で2FAをオフにします。
- もう一度2FAを有効にします。今回は新しいAuthenticatorアプリを使用します。
サービスの手順を繰り返し、移行が完了したら各サービスを削除します。これは、AUTHYのアイテムを長い間タッピングし、削除オプションを選択することによって行われます。
代替案に関する限り、オープンソースの認証者AegisまたはBitwarden Authenticatorのレビューをご覧ください。
単語を閉じる
過去にいくつかの違反で苦しんでいたサービスを信頼している場合、またはそうでないサービスに移動する必要があります。 LastPassのお客様は、過去に同じ質問に何度か直面しており、Authyの顧客が自問すべき質問と同じ質問です。
あなたが移住しているかどうかはあなた次第です。適切な輸出オプションがないおかげで、不便です。
関連している:ハッカーはあなたの1Passwordデータを盗むことができ、今すぐ8.10.36に更新できます
Authenticatorアプリを使用していますか?もしそうなら、今のあなたの好みのものはどれですか?