Os dados de um pequeno número de usuários do Authy, um aplicativo de autenticação em duas etapas, foram roubados em um hack da empresa controladora Twilio. Trata-se de um total de 125 usuários, informa a empresa.
Não se sabe exatamente quais dados os invasores podem acessar, mas não se trata de senhas, tokens ou chaves de API, relata o Twilio. Com senhas e tokens, os invasores poderiam gerar códigos em nome desses usuários e obter acesso às contas. Se os usuários não foram notificados pela empresa, Twilio diz que não há evidências de que os invasores possam acessar seus dados.
Authy é um aplicativo para Android e iOS que possibilita o acesso com autenticação de dois fatores e concorre, por exemplo, com os aplicativos autenticadores do Google e da Microsoft. Twilio não diz quantos usuários Authy tem.
O hack foi possível porque os funcionários caíram em um ataque de phishing direcionado. Os funcionários receberam uma mensagem de texto informando que uma senha havia expirado e uma solicitação para criar uma nova. Eles os confundiram com mensagens de seu próprio departamento de TI e clicaram nos links.
A empresa vai investigar o incidente e dizer que está frustrada com a forma como as coisas estão indo. Também mantém contato com provedores americanos para que não seja mais possível falsificar as mensagens de texto.