两步验证应用程序 Authy 的少数用户数据在母公司 Twilio 的一次黑客攻击中被盗。 该公司报告称,它总共涉及 125 个用户。
Twilio 报告说,目前尚不清楚攻击者可以访问哪些数据,但这与密码、令牌或 API 密钥无关。 使用密码和令牌,攻击者可以代表这些用户生成代码并获得对帐户的访问权限。 如果公司没有通知用户,Twilio 说没有证据表明攻击者可以访问他们的数据。
Authy 是一款适用于 Android 和 iOS 的应用程序,可通过双重身份验证进行访问,并与 Google 和 Microsoft 的身份验证器应用程序等竞争。 Twilio 没有说明 Authy 有多少用户。
黑客攻击是可能的,因为员工已经陷入有针对性的网络钓鱼攻击。 员工收到一条短信,通知他们密码已过期,并要求创建一个新密码。 他们将它们误认为是来自他们自己的 IT 部门的消息,因此点击了链接。
该公司将对这一事件进行调查,并表示对事情的发展方式感到沮丧。 它还与美国提供商联系,使其不再可能欺骗短信。