Podatki majhnega števila uporabnikov Authy, aplikacije za preverjanje pristnosti v dveh korakih, so bili ukradeni pri vdoru v matično podjetje Twilio. Gre za skupno 125 uporabnikov, so sporočili iz družbe.
Ni natančno znano, do katerih podatkov bi napadalci lahko dostopali, vendar ne gre za gesla, žetone ali ključe API, poroča Twilio. Z gesli in žetoni bi napadalci lahko ustvarili kode v imenu teh uporabnikov in pridobili dostop do računov. Če uporabniki niso bili obveščeni s strani podjetja, Twilio pravi, da ni dokazov, da bi napadalci lahko dostopali do njihovih podatkov.
Authy je aplikacija za Android in iOS, ki omogoča dostop z dvofaktorsko avtentikacijo in tekmuje na primer z Googlovimi in Microsoftovimi aplikacijami za preverjanje pristnosti. Twilio ne pove, koliko uporabnikov ima Authy.
Vdor je bil mogoč, ker so zaposleni nasedli ciljnemu lažnemu predstavljanju. Zaposleni so prejeli sms sporočilo, da je geslo poteklo in zahtevo za ustvarjanje novega. Zamenjali so jih za sporočila lastnega IT oddelka in tako kliknili na povezave.
Podjetje bo preiskalo incident in povedalo, da je razočarano nad tem, kako stvari potekajo. Ima tudi stik z ameriškimi ponudniki, da ne bi bilo več mogoče ponarejati besedilnih sporočil.