Podaci malog broja korisnika Authyja, aplikacije za autentifikaciju u dva koraka, ukradeni su hakiranjem matične tvrtke Twilio. Radi se o ukupno 125 korisnika, poručuju iz tvrtke.
Nije poznato kojim su točno podacima napadači mogli pristupiti, no ne radi se o lozinkama, tokenima ili API ključevima, prenosi Twilio. Pomoću lozinki i tokena napadači bi mogli generirati kodove u ime tih korisnika i dobiti pristup računima. Ako korisnici nisu obaviješteni od strane tvrtke, Twilio kaže da nema dokaza da bi napadači mogli pristupiti njihovim podacima.
Authy je aplikacija za Android i iOS koja omogućuje pristup s dvofaktorskom autentifikacijom i natječe se s, primjerice, aplikacijama za autentifikaciju iz Googlea i Microsofta. Twilio ne kaže koliko korisnika ima Authy.
Hakiranje je bilo moguće jer su zaposlenici nasjeli na ciljani phishing napad. Zaposlenici su primili SMS poruku da je lozinka istekla i zahtjev za kreiranje nove. Zamijenili su ih za poruke vlastitog IT odjela i tako kliknuli na poveznice.
Tvrtka će istražiti incident i reći da je frustrirana načinom na koji se stvari odvijaju. Također je u kontaktu s američkim provajderima kako više ne bi bilo moguće lažirati tekstualne poruke.