クラウド電話APIを手掛ける米Twilioは7月1日(現地時間)、セキュリティ保護されていないAPIのエンドポイントにより、“脅威アクター”(攻撃者)が同社の多要素認証ツール「Authy」のユーザーの多数の電話番号を入手したことを確認したと発表した。「このエンドポイントを保護する措置を講じ、認証されていないリクエストを許可しないようにした」という。
Twilioはユーザーに対し、Authyのアプリをすぐに最新版(Androidはv25.1.0、iOSはv26.1.0)にアップデートするよう呼び掛けている。
この件については6月27日、ShinyHuntersとして知られる攻撃者がダークウェブ上で、Twilioをハッキングして入手したという約3300万人のユーザーの電話番号を含むCSVファイルを公開した。米BleepingComputerは、このファイルにAuthyのアカウントIDや電話番号が含まれていることを確認した。
BleepingComputerによると、攻撃者は膨大な電話番号リストをセキュリティで保護されていないAPIエンドポイントに入力することでデータを収集したという。有効な電話番号についてはエンドポイントがAuthyに登録されている関連アカウント情報を返してしまう。
TwilioがAPIを保護したため、この悪用はできなくなった。
Twilioは「Authyアカウントが侵害されることはありませんが、脅威アクターがAuthyアカウントに関連付けられた電話番号をフィッシングやスミッシング攻撃に利用しようとする可能性があります」と警告し、「すべてのAuthyユーザーに、受信するテキストメッセージについて注意を怠らず、高い意識を持っていただくようお願いします」と呼び掛けている。
同社は2022年にもフィッシング攻撃を受け、顧客データが漏えいしてる。
