Data malého počtu uživatelů aplikace Authy, dvoufázové autentizační aplikace, byla ukradena hackem mateřské společnosti Twilio. Týká se to celkem 125 uživatelů, uvádí společnost.
Není přesně známo, k jakým datům by útočníci mohli přistupovat, ale nejde o hesla, tokeny nebo klíče API, uvádí Twilio. Pomocí hesel a tokenů mohli útočníci generovat kódy jménem těchto uživatelů a získat přístup k účtům. Pokud uživatelé nebyli společností upozorněni, Twilio tvrdí, že neexistuje žádný důkaz, že by útočníci mohli získat přístup k jejich datům.
Authy je aplikace pro Android a iOS, která umožňuje přístup pomocí dvoufaktorového ověřování a konkuruje například autentizačním aplikacím od Googlu a Microsoftu. Twilio neuvádí, kolik uživatelů má Authy.
Hack byl možný, protože zaměstnanci napadli cílený phishingový útok. Zaměstnanci obdrželi SMS zprávu o vypršení platnosti hesla a žádost o vytvoření nového. Spletli si je se zprávami z vlastního IT oddělení, a tak klikali na odkazy.
Společnost incident prošetří a řekne, že je frustrovaná tím, jak se věci vyvíjejí. Má také kontakt s americkými poskytovateli, aby již nebylo možné falšovat textové zprávy.