Bij een hack van moederbedrijf Twilio zijn de gegevens van een klein aantal gebruikers van Authy, een app voor authenticatie in twee stappen, gestolen. Het gaat in totaal om 125 gebruikers, meldt het bedrijf.
Het is niet precies bekend tot welke gegevens de aanvallers toegang konden krijgen, maar het gaat niet om wachtwoorden, tokens of API-sleutels, meldt Twilio. Met wachtwoorden en tokens kunnen de aanvallers namens die gebruikers codes genereren en toegang krijgen tot accounts. Als gebruikers niet op de hoogte zijn gesteld door het bedrijf, zegt Twilio dat er geen bewijs is dat aanvallers toegang hebben tot hun gegevens.
Authy is een app voor Android en iOS die toegang mogelijk maakt met tweefactorauthenticatie en concurreert met bijvoorbeeld de authenticator-apps van Google en Microsoft. Twilio zegt niet hoeveel gebruikers Authy heeft.
De hack was mogelijk doordat medewerkers waren gevallen voor een gerichte phishing-aanval. De medewerkers ontvingen een sms met de mededeling dat een wachtwoord was verlopen en een verzoek om een nieuw wachtwoord aan te maken. Ze zagen ze aan voor berichten van hun eigen IT-afdeling en klikten dus op de links.
Het bedrijf zal het incident onderzoeken en zeggen gefrustreerd te zijn over de gang van zaken. Ook heeft het contact met Amerikaanse providers om het vervalsen van de sms-berichten niet meer mogelijk te maken.