모회사 트윌리오(Twilio) 해킹으로 125단계 인증 앱 오티(Authy) 소수 사용자의 데이터가 탈취당했다. 이 회사는 총 XNUMX명의 사용자와 관련이 있다고 보고합니다.
공격자가 액세스할 수 있는 데이터가 정확히 무엇인지는 알 수 없지만 암호, 토큰 또는 API 키에 관한 것은 아니라고 Twilio는 보고합니다. 암호와 토큰을 사용하여 공격자는 해당 사용자를 대신하여 코드를 생성하고 계정에 대한 액세스 권한을 얻을 수 있습니다. 회사에서 사용자에게 알리지 않은 경우 공격자가 데이터에 액세스할 수 있다는 증거가 없다고 Twilio는 말합니다.
Authy는 이중 인증으로 액세스할 수 있는 Android 및 iOS용 앱으로, 예를 들어 Google 및 Microsoft의 인증 앱과 경쟁합니다. Twilio는 Authy의 사용자 수를 말하지 않습니다.
직원들이 표적 피싱 공격에 빠졌기 때문에 해킹이 가능했습니다. 직원들은 비밀번호가 만료되었다는 문자 메시지와 새 비밀번호 생성 요청을 받았습니다. 그들은 자신의 IT 부서에서 온 메시지로 착각하여 링크를 클릭했습니다.
회사는 사건을 조사하고 상황이 진행되는 방식에 실망스럽다고 말할 것입니다. 또한 더 이상 문자 메시지를 스푸핑할 수 없도록 미국 제공업체와 연락을 취하고 있습니다.