Die Daten einer kleinen Anzahl von Benutzern von Authy, einer Zwei-Schritt-Authentifizierungs-App, wurden bei einem Hack der Muttergesellschaft Twilio gestohlen. Es betreffe insgesamt 125 Nutzer, teilt das Unternehmen mit.
Auf welche Daten die Angreifer genau zugreifen konnten, ist nicht bekannt, es gehe aber nicht um Passwörter, Token oder API-Keys, berichtet Twilio. Mit Passwörtern und Token könnten die Angreifer Codes im Namen dieser Benutzer generieren und sich Zugang zu Konten verschaffen. Wenn Benutzer nicht vom Unternehmen benachrichtigt wurden, gibt es laut Twilio keine Beweise dafür, dass Angreifer auf ihre Daten zugreifen könnten.
Authy ist eine App für Android und iOS, die den Zugriff mit Zwei-Faktor-Authentifizierung ermöglicht und beispielsweise den Authenticator-Apps von Google und Microsoft Konkurrenz macht. Twilio sagt nicht, wie viele Benutzer Authy hat.
Der Hack war möglich, weil Mitarbeiter auf einen gezielten Phishing-Angriff hereingefallen waren. Die Mitarbeiter erhielten eine SMS, in der sie darüber informiert wurden, dass ein Passwort abgelaufen war, und mit der Aufforderung, ein neues zu erstellen. Sie verwechselten sie mit Nachrichten ihrer eigenen IT-Abteilung und klickten daher auf die Links.
Das Unternehmen wird den Vorfall untersuchen und sagen, dass es frustriert ist, wie die Dinge laufen. Es hat auch Kontakt zu amerikanischen Anbietern, damit die SMS nicht mehr gefälscht werden können.