Podaci malog broja korisnika Authy, aplikacije za autentifikaciju u dva koraka, ukradeni su hakom matične kompanije Twilio. Radi se o ukupno 125 korisnika, poručuju iz kompanije.
Ne zna se tačno kojim podacima bi napadači mogli pristupiti, ali nije riječ o lozinkama, tokenima ili API ključevima, prenosi Twilio. Uz lozinke i tokene, napadači bi mogli generirati kodove u ime tih korisnika i dobiti pristup nalozima. Ako kompanija nije obavijestila korisnike, Twilio kaže da nema dokaza da bi napadači mogli pristupiti njihovim podacima.
Authy je aplikacija za Android i iOS koja omogućava pristup s dvofaktorskom autentifikacijom i koja se takmiči s, na primjer, aplikacijama za autentifikaciju iz Google-a i Microsofta. Twilio ne navodi koliko korisnika Authy ima.
Hak je bio moguć jer su zaposleni pali na ciljani phishing napad. Zaposleni su dobili SMS poruku da je lozinka istekla i zahtjev za kreiranje nove. Zamijenili su ih za poruke iz vlastitog IT odjela i tako kliknuli na linkove.
Kompanija će istražiti incident i reći da je frustrirana načinom na koji se stvari odvijaju. Također ima kontakt s američkim provajderima kako bi više nije bilo moguće lažirati tekstualne poruke.