Dataene til et lite antall brukere av Authy, en to-trinns autentiseringsapp, ble stjålet i et hack fra morselskapet Twilio. Det dreier seg om totalt 125 brukere, melder selskapet.
Det er ukjent nøyaktig hvilke data angriperne kunne få tilgang til, men det handler ikke om passord, tokens eller API-nøkler, melder Twilio. Med passord og tokens kunne angriperne generere koder på vegne av disse brukerne og få tilgang til kontoer. Hvis brukere ikke har blitt varslet av selskapet, sier Twilio at det ikke er bevis for at angripere kan få tilgang til dataene deres.
Authy er en app for Android og iOS som muliggjør tilgang med tofaktorautentisering og konkurrerer med for eksempel autentiseringsappene fra Google og Microsoft. Twilio sier ikke hvor mange brukere Authy har.
Hacket var mulig fordi ansatte hadde falt for et målrettet phishing-angrep. De ansatte fikk en tekstmelding om at et passord var utløpt og en forespørsel om å opprette et nytt. De forvekslet dem med meldinger fra deres egen IT-avdeling og klikket på lenkene.
Selskapet vil etterforske hendelsen og si at de er frustrerte over hvordan ting går. Den har også kontakt med amerikanske tilbydere for å gjøre det ikke lenger mulig å forfalske tekstmeldingene.