兩步驗證應用程序 Authy 的少數用戶數據在母公司 Twilio 的一次黑客攻擊中被盜。 該公司報告稱,它總共涉及 125 個用戶。
Twilio 報告說,目前尚不清楚攻擊者可以訪問哪些數據,但與密碼、令牌或 API 密鑰無關。 使用密碼和令牌,攻擊者可以代表這些用戶生成代碼並獲得對帳戶的訪問權限。 如果公司沒有通知用戶,Twilio 說沒有證據表明攻擊者可以訪問他們的數據。
Authy 是一款適用於 Android 和 iOS 的應用程序,可通過雙重身份驗證進行訪問,並與 Google 和 Microsoft 的身份驗證器應用程序等競爭。 Twilio 沒有說明 Authy 有多少用戶。
黑客攻擊是可能的,因為員工已經陷入有針對性的網絡釣魚攻擊。 員工收到一條短信,通知他們密碼已過期,並要求創建一個新密碼。 他們將它們誤認為是來自他們自己的 IT 部門的消息,因此點擊了鏈接。
該公司將對這一事件進行調查,並表示對事情的發展方式感到沮喪。 它還與美國提供商聯繫,使其不再可能欺騙短信。