親会社Twilioのハッキングで、125段階認証アプリAuthyの少数ユーザーのデータが盗まれました。 同社の報告によると、これは合計 XNUMX 人のユーザーに関係しています。
攻撃者がどのデータにアクセスできるかは正確には不明ですが、パスワード、トークン、または API キーに関するものではない、と Twilio は報告しています。 パスワードとトークンを使用して、攻撃者はそれらのユーザーに代わってコードを生成し、アカウントへのアクセスを取得する可能性があります。 ユーザーが会社から通知を受けていない場合、Twilio は、攻撃者がユーザーのデータにアクセスできるという証拠はないと述べています。
Authy は、XNUMX 要素認証によるアクセスを可能にする Android および iOS 向けのアプリであり、Google や Microsoft の認証アプリなどと競合します。 Twilio は Authy のユーザー数を明らかにしていません。
従業員が標的型フィッシング攻撃に陥ったため、ハッキングが可能でした。 従業員は、パスワードの有効期限が切れたことを通知するテキスト メッセージと、新しいパスワードの作成を求めるメッセージを受け取りました。 彼らは自分の IT 部門からのメッセージと間違えて、リンクをクリックしてしまいました。
同社は事件を調査し、物事が進んでいる方法に不満を感じていると述べています. また、アメリカのプロバイダーと連絡を取り、テキスト メッセージのなりすましを防止しています。