Data sebilangan kecil pengguna Authy, apl pengesahan dua langkah, telah dicuri dalam penggodaman syarikat induk Twilio. Ia melibatkan sejumlah 125 pengguna, lapor syarikat itu.
Tidak diketahui dengan tepat data yang boleh diakses oleh penyerang, tetapi ia bukan mengenai kata laluan, token atau kunci API, lapor Twilio. Dengan kata laluan dan token, penyerang boleh menjana kod bagi pihak pengguna tersebut dan mendapat akses kepada akaun. Jika pengguna belum dimaklumkan oleh syarikat itu, Twilio berkata tiada bukti bahawa penyerang boleh mengakses data mereka.
Authy ialah apl untuk Android dan iOS yang membolehkan akses dengan pengesahan dua faktor dan bersaing dengan, sebagai contoh, apl pengesah daripada Google dan Microsoft. Twilio tidak menyatakan bilangan pengguna Authy.
Penggodaman itu mungkin berlaku kerana pekerja telah jatuh untuk serangan pancingan data yang disasarkan. Pekerja menerima mesej teks yang memberitahu mereka bahawa kata laluan telah tamat tempoh dan permintaan untuk mencipta kata laluan baharu. Mereka menyangka mereka sebagai mesej daripada jabatan IT mereka sendiri dan kemudian mengklik pada pautan.
Syarikat itu akan menyiasat kejadian itu dan mengatakan ia kecewa dengan keadaan yang berlaku. Ia juga mempunyai hubungan dengan pembekal Amerika untuk menjadikannya tidak mungkin lagi untuk menipu mesej teks.