Twilio telah mengonfirmasi bahwa titik akhir API yang tidak aman memungkinkan pelaku ancaman memverifikasi nomor telepon jutaan pengguna autentikasi multifaktor Authy, yang berpotensi membuat mereka rentan terhadap serangan phishing SMS dan pertukaran SIM.
Authy adalah aplikasi seluler yang menghasilkan kode autentikasi multifaktor di situs web tempat Anda mengaktifkan MFA.
Pada akhir Juni, seorang pelaku ancaman bernama ShinyHunters membocorkan berkas teks CSV yang mereka klaim berisi 33 juta nomor telepon yang terdaftar pada layanan Authy.
Sumber: BleepingComputer
Berkas CSV memuat 33.420.546 baris, masing-masing memuat ID akun, nomor telepon, kolom “over_the_top”, status akun, dan jumlah perangkat.
Twilio kini telah mengonfirmasi kepada BleepingComputer bahwa pelaku ancaman menyusun daftar nomor telepon menggunakan titik akhir API yang tidak diautentikasi.
“Twilio telah mendeteksi bahwa pelaku kejahatan siber mampu mengidentifikasi data yang terkait dengan akun Authy, termasuk nomor telepon, karena titik akhir yang tidak diautentikasi. Kami telah mengambil tindakan untuk mengamankan titik akhir ini dan tidak lagi mengizinkan permintaan yang tidak diautentikasi,” kata Twilio kepada BleepingComputer.
“Kami tidak melihat bukti bahwa pelaku kejahatan siber memperoleh akses ke sistem Twilio atau data sensitif lainnya. Sebagai tindakan pencegahan, kami meminta semua pengguna Authy untuk memperbarui aplikasi Android dan iOS terbaru guna mendapatkan pembaruan keamanan terbaru dan menghimbau semua pengguna Authy untuk tetap tekun dan meningkatkan kewaspadaan terhadap serangan phishing dan smishing.”
Pada tahun 2022, Twilio mengungkapkan bahwa mereka mengalami pelanggaran Juni Dan Agustus yang memungkinkan pelaku ancaman untuk membobol infrastrukturnya dan mengakses informasi pelanggan Authy.
Penyalahgunaan API yang tidak aman
BleepingComputer mengetahui bahwa data tersebut dihimpun dengan memasukkan daftar besar nomor telepon ke titik akhir API yang tidak aman. Jika nomor tersebut valid, titik akhir akan mengembalikan informasi tentang akun terkait yang terdaftar dengan Authy.
Sekarang API telah diamankan, API tersebut tidak dapat lagi disalahgunakan untuk memverifikasi apakah nomor telepon digunakan dengan Authy.
Teknik ini mirip dengan bagaimana aktor ancaman menyalahgunakan API Twitter yang tidak aman Dan Facebook API untuk menyusun profil puluhan juta pengguna yang berisi informasi publik dan non-publik.
Meskipun pengikisan Authy hanya berisi nomor telepon, hal itu tetap dapat menguntungkan bagi pengguna yang ingin melakukan serangan smishing dan pertukaran SIM untuk membobol akun.
ShinyHunters menyinggung hal ini dalam posting mereka, dengan menyatakan, “Kalian dapat bergabung di gemini atau Nexo db,” yang menunjukkan bahwa pelaku ancaman membandingkan daftar nomor telepon tersebut dengan nomor-nomor yang bocor dalam dugaan pelanggaran data Gemini dan Nexo.
Jika kecocokan ditemukan, pelaku ancaman dapat mencoba melakukan serangan pertukaran SIM atau serangan phishing untuk membobol akun bursa mata uang kripto dan mencuri semua aset.
Twilio sekarang memiliki merilis pembaruan keamanan baru dan merekomendasikan agar pengguna memperbarui ke Authy Android (v25.1.0) dan Aplikasi iOS (v26.1.0), yang mencakup pembaruan keamanan. Tidak jelas bagaimana pembaruan keamanan ini membantu melindungi pengguna dari pelaku ancaman yang menggunakan data hasil pengikisan dalam serangan.
Pengguna Authy juga harus memastikan akun seluler mereka dikonfigurasi untuk memblokir transfer nomor tanpa memberikan kode sandi atau menonaktifkan perlindungan keamanan.
Lebih jauh lagi, pengguna Authy harus waspada terhadap potensi serangan phishing SMS yang mencoba mencuri data yang lebih sensitif, seperti kata sandi.
Dalam apa yang tampaknya merupakan pelanggaran yang tidak terkait, Twilio juga telah mulai mengirimkan pemberitahuan pelanggaran data setelah bucket AWS S3 yang tidak aman dari vendor pihak ketiga mengekspos data terkait SMS yang dikirim melalui perusahaan.
