Attacco hacker ad un'app 2FA di iOS e Android: rubati milioni di numeri di telefono

L’app Authy di Twilio sia per iOS che per Android, appositamente progettata per rendere più semplice l’autenticazione a due fattori (2FA), è stata violata dagli hacker con conseguenze molto gravi per gli utenti. Sarebbe infatti avvenuto il furto dei numeri di telefono dei clienti che possedevano l’applicativo. In un post sul blog ufficiale, Authy ha scritto quanto segue:

“Twilio ha rilevato che gli autori delle minacce erano in grado di identificare i dati associati agli account Authy, inclusi i numeri di telefono. Il tutto a causa di un endpoint non autenticato. Abbiamo preso provvedimenti per proteggerlo e non consentire più richieste non autenticate“.

Twilio ha richiesto dunque a tutti gli utenti in possesso di Authy di aggiornare alle ultime versioni l’applicazione, sia per iOS che per Android. In questo modo l’app potrà installare gli ultimi aggiornamenti di sicurezza. Twilio ha aggiunto in un secondo momento altri dettagli in merito al furti dei dati:

“Sebbene gli account Authy non siano compromessi, gli hacker possono tentare di utilizzare il numero di telefono associato agli account per attacchi di phishing e smishing; incoraggiamo tutti gli utenti Authy a restare allerta e ad aumentare il livello di attenzione in merito ai messaggi che stanno ricevendo“.

Autenticazione a due fattori, gli hacker hanno fregato gli utenti anche in questo caso

L’autenticazione a due fattori (2FA) offre l’uso di un secondo livello di protezione quando si accede ad un’app. Ad esempio, dopo aver effettuato l’accesso a un’app gli utenti ricevono un SMS sul proprio telefono con un codice da digitare per accedere. Questa pratica impedisce a un utente malintenzionato di aprire una delle app degli utenti accedendo ai loro account. In questo modo si può evitare che gli hacker possano modificare le password e derubare le persone dei loro account personali. Al momento, Twilio afferma che i dati dei clienti rubati nell’hacking erano limitati ai numeri di telefono.

Twilio attribuisce la colpa della truffa all’uso di “endpoint non autenticati” e conferma di aver adottato misure utili per proteggere i suoi utenti. Gli hacker noti come ShinyHunters hanno ammesso di aver hackerato Twilio e rubato 33 milioni di numeri di cellulare.