Cafodd data nifer fach o ddefnyddwyr Authy, ap dilysu dau gam, ei ddwyn mewn darn o riant-gwmni Twilio. Mae'n ymwneud â chyfanswm o 125 o ddefnyddwyr, yn ôl y cwmni.
Nid yw'n hysbys yn union pa ddata y gallai'r ymosodwyr ei gyrchu, ond nid yw'n ymwneud â chyfrineiriau, tocynnau nac allweddi API, yn ôl Twilio. Gyda chyfrineiriau a thocynnau, gallai'r ymosodwyr gynhyrchu codau ar ran y defnyddwyr hynny a chael mynediad at gyfrifon. Os nad yw defnyddwyr wedi cael eu hysbysu gan y cwmni, dywed Twilio nad oes tystiolaeth y gallai ymosodwyr gael mynediad at eu data.
Ap ar gyfer Android ac iOS yw Authy sy'n galluogi mynediad gyda dilysiad dau ffactor ac sy'n cystadlu, er enghraifft, ag apiau dilyswyr Google a Microsoft. Nid yw Twilio yn dweud faint o ddefnyddwyr sydd gan Authy.
Roedd yr hac yn bosibl oherwydd bod gweithwyr wedi cwympo am ymosodiad gwe-rwydo wedi'i dargedu. Derbyniodd y gweithwyr neges destun yn eu hysbysu bod cyfrinair wedi dod i ben a chais i greu un newydd. Fe wnaethon nhw eu camgymryd am negeseuon gan eu hadran TG eu hunain ac felly clicio ar y dolenni.
Bydd y cwmni'n ymchwilio i'r digwyddiad ac yn dweud ei fod yn rhwystredig gyda'r ffordd mae pethau'n mynd. Mae ganddo hefyd gysylltiad â darparwyr Americanaidd i'w gwneud hi'n amhosibl mwyach i ffugio'r negeseuon testun.