Wyciekły dane z popularnej aplikacji. W ręce oszustów trafiły numery telefonów
Ta aplikacja generuje kody jednorazowe używane do logowania dwuskładnikowego. W swojej kategorii cieszy się wyjątkową popularnością wśród użytkowników. Miała zapewniać im bezpieczeństwo, a sama stała się zagrożeniem.
Logowanie dwuetapowe
Chodzi o aplikację Authy wydaną przez firmę Twilio. Aplikacja służy do uwierzytelniania dwuetapowego, nazywanego inaczej uwierzytelnianiem lub logowaniem dwuskładnikowym. Jego zadaniem jest dodatkowe zabezpieczenie poświadczeń użytkownika aplikacji w trakcie logowania, podczas którego oprócz standardowego hasła, podaje on jeszcze kod wygenerowany przez aplikację. Authy cieszy się dużym uznaniem użytkowników, w AppStore aplikacja ma ocenę 4,7.
”Miałeś zniszczyć Sithów, a nie dołączyć do nich”
Niestety okazało się, że aplikacja, która miała za zadanie zwiększać bezpieczeństwo jej użytkowników, zamiast tego naraziła ich oraz ich urządzenia na niebezpieczeństwo. Na przełomie czerwca i lipca anonimowa osoba ogłosiła, że włamała się do bazy danych Authy i uzyskała dostęp do 33 milionów numerów telefonów użytkowników aplikacji. Informację o włamaniu potwierdziła firma Twilio.
Konsekwencje mogą być dokuczliwe
33 miliony numerów telefonów prawdziwych osób są cennym łupem dla cyberprzestępców i oszustów stosujących np. phishing (oszustwo polegające na podszywaniu się pod inną osobę w celu wyciągnięcia od kogoś pieniędzy lub wrażliwych danych).
Twilio apeluje do użytkowników o
jak najszybszą aktualizację aplikacji.
W najnowszej wersji luka w zabezpieczeniach została wyeliminowana. Po drugie wydawcy Authy zalecają daleko idącą ostrożność,
szczególnie w przypadku kontaktu od nieznanych osób lub numerów.