Pienen joukon kaksivaiheisen todennussovelluksen Authyn käyttäjien tiedot varastettiin emoyhtiö Twilion hakkerointiin. Se koskee yhteensä 125 käyttäjää, yhtiö raportoi.
Ei tiedetä tarkalleen, mihin tietoihin hyökkääjät voivat päästä käsiksi, mutta kyse ei ole salasanoista, tunnuksista tai API-avaimista, Twilio raportoi. Salasanojen ja tunnuksien avulla hyökkääjät voivat luoda koodeja näiden käyttäjien puolesta ja saada pääsyn tileille. Jos yhtiö ei ole ilmoittanut käyttäjille, Twilio sanoo, ettei ole todisteita siitä, että hyökkääjät voisivat päästä käsiksi heidän tietoihinsa.
Authy on Android- ja iOS-sovellus, joka mahdollistaa pääsyn kaksivaiheisen todennuksen avulla ja kilpailee esimerkiksi Googlen ja Microsoftin autentikointisovellusten kanssa. Twilio ei kerro, kuinka monta käyttäjää Authylla on.
Hakkerointi oli mahdollista, koska työntekijät olivat langenneet kohdistettuun tietojenkalasteluhyökkäykseen. Työntekijät saivat tekstiviestin, jossa kerrottiin salasanan vanhentumisesta ja pyynnön luoda uusi. He luulivat niitä oman IT-osastonsa viesteiksi ja napsauttavat linkkejä.
Yhtiö tutkii tapausta ja sanoo olevansa turhautunut asioiden etenemiseen. Se on myös yhteydessä amerikkalaisiin palveluntarjoajiin, jotta tekstiviestien huijaus ei enää olisi mahdollista.