Data från ett litet antal användare av Authy, en tvåstegsautentiseringsapp, stals i ett hack av moderbolaget Twilio. Det handlar om totalt 125 användare, rapporterar företaget.
Det är okänt exakt vilken data angriparna kunde komma åt, men det handlar inte om lösenord, tokens eller API-nycklar, rapporterar Twilio. Med lösenord och tokens kunde angriparna generera koder på uppdrag av dessa användare och få tillgång till konton. Om användare inte har meddelats av företaget, säger Twilio att det inte finns några bevis för att angripare skulle kunna komma åt deras data.
Authy är en app för Android och iOS som möjliggör åtkomst med tvåfaktorsautentisering och som konkurrerar med till exempel autentiseringsapparna från Google och Microsoft. Twilio säger inte hur många användare Authy har.
Hacket var möjligt eftersom anställda hade fallit för en riktad nätfiskeattack. De anställda fick ett sms om att ett lösenord hade gått ut och en begäran om att skapa ett nytt. De misstog dem för meddelanden från sin egen IT-avdelning och klickade därför på länkarna.
Företaget kommer att utreda händelsen och säga att de är frustrerade över hur det går. Man har även kontakt med amerikanska leverantörer för att göra det inte längre möjligt att spoofa sms:en.