Ang data ng isang maliit na bilang ng mga user ng Authy, isang two-step na authentication app, ay ninakaw sa isang hack ng parent company na Twilio. Ito ay may kinalaman sa kabuuang 125 mga gumagamit, ang ulat ng kumpanya.
Hindi alam kung anong data ang maaaring ma-access ng mga umaatake, ngunit hindi ito tungkol sa mga password, token o API key, ulat ng Twilio. Gamit ang mga password at token, ang mga umaatake ay maaaring bumuo ng mga code sa ngalan ng mga user na iyon at makakuha ng access sa mga account. Kung ang mga user ay hindi pa naabisuhan ng kumpanya, sinabi ni Twilio na walang katibayan na maaaring ma-access ng mga umaatake ang kanilang data.
Ang Authy ay isang app para sa Android at iOS na nagbibigay-daan sa pag-access gamit ang dalawang-factor na pagpapatotoo at nakikipagkumpitensya sa, halimbawa, ang mga app ng authenticator mula sa Google at Microsoft. Hindi sinasabi ni Twilio kung gaano karaming user ang mayroon si Authy.
Posible ang pag-hack dahil nahulog ang mga empleyado sa naka-target na pag-atake sa phishing. Nakatanggap ang mga empleyado ng isang text message na nagpapaalam sa kanila na nag-expire na ang isang password at isang kahilingan na gumawa ng bago. Napagkamalan nila ang mga ito para sa mga mensahe mula sa kanilang sariling departamento ng IT at nag-click sa mga link.
Iimbestigahan ng kumpanya ang insidente at sasabihing bigo ito sa takbo ng mga bagay-bagay. Mayroon din itong pakikipag-ugnayan sa mga American provider para hindi na posible na madaya ang mga text message.