Data fra et lille antal brugere af Authy, en to-trins autentificeringsapp, blev stjålet i et hack fra moderselskabet Twilio. Det drejer sig om i alt 125 brugere, oplyser virksomheden.
Det er uvist præcist, hvilke data angriberne kunne få adgang til, men det handler ikke om adgangskoder, tokens eller API-nøgler, rapporterer Twilio. Med adgangskoder og tokens kunne angriberne generere koder på vegne af disse brugere og få adgang til konti. Hvis brugerne ikke er blevet underrettet af virksomheden, siger Twilio, at der ikke er beviser for, at angribere kunne få adgang til deres data.
Authy er en app til Android og iOS, der muliggør adgang med tofaktorautentificering og konkurrerer med for eksempel autentificeringsapps fra Google og Microsoft. Twilio siger ikke, hvor mange brugere Authy har.
Hacket var muligt, fordi ansatte var faldet for et målrettet phishing-angreb. Medarbejderne modtog en sms om, at en adgangskode var udløbet, og en anmodning om at oprette en ny. De forvekslede dem med beskeder fra deres egen it-afdeling og klikkede derfor på linkene.
Virksomheden vil undersøge hændelsen og sige, at den er frustreret over, hvordan tingene går. Den har også kontakt til amerikanske udbydere for at gøre det ikke længere muligt at spoofe sms'erne.