Su uno dei forum più frequentati dai criminali informatici e da chi prova a fare cassa utilizzando i dati personali degli utenti, è stato pubblicato un “assaggio” di un vasto dataset rubato ad Authy, la nota applicazione che permette di gestire l’autenticazione a due fattori. Gli aggressori informatici hanno rivelato di aver acquisito oltre 33 milioni di numeri di telefono, appartenenti ad altrettanti utenti di Authy.
Twilio, azienda che sviluppa e distribuisce Authy, ha confermato l’incidente spiegando che gli attaccanti sono effettivamente riusciti a identificare i numeri di telefono degli utenti di Authy. L’hanno fatto sfruttando un endpoint non sicuro utilizzato per la gestione delle API (Application Programming Interface) di accesso al servizio.
Le API sono interfacce che permettono a diverse applicazioni di comunicare tra loro e condividere dati. Un endpoint va in questo caso inteso come un URL specifico attraverso il quale un’applicazione può accedere a determinate funzioni o dati, proprio tramite API. Un endpoint API non sicuro manca delle misure di sicurezza appropriate come autenticazione, autorizzazione, crittografia e controllo degli accessi.
I dettagli della violazione subita da Authy: 33 milioni di numeri di telefono nelle mani degli aggressori
L’incidente informatico subìto da Twilio è grave perché tocca da vicino il meccanismo sul quale poggia l’autenticazione a due fattori. Per poter utilizzare Authy come secondo fattore, ovvero per aggiungere un meccanismo di protezione in più rispetto al semplice inserimento di nome utente e password sui siti Web, infatti, è necessario installare l’applicazione su un dispositivo mobile confermando il numero di telefono associato.
La sottrazione dei numeri di telefono non permette un attacco diretto nei confronti degli utenti di Authy. Tuttavia, li espone ad attacchi phishing tramite SMS e aggressioni di tipo SIM swapping.
I portavoce di Twilio sostengono che l’azienda ha preso provvedimenti al fine di mettere in sicurezza l’endpoint sfruttato dai criminali informatici. In questo modo, non risponderà più alle richieste non autenticate provenienti da sistemi remoti.
La società ha inoltre precisato che gli attaccanti non hanno ottenuto accesso ad altri sistemi di Twilio, né estratto altri dati riservati. Come precauzione, tuttavia, Twilio sta richiedendo a tutti gli utenti di Authy di aggiornare le app Android e iOS all’ultima versione.
Raccomandazioni di sicurezza
Le nuove versioni di Authy per Android e iOS (rispettivamente v25.1.0 e v26.1.0) includono importanti aggiornamenti di sicurezza che Twilio indica come utili. Non è chiaro, tuttavia, come l’installazione di questi aggiornamenti possa proteggere gli utenti il cui numero di telefono è ormai già nelle mani degli aggressori.
Probabilmente, anche se non esiste una conferma ufficiale, gli aggressori hanno individuato l’endpoint non autenticato analizzando le richieste di rete avanzate dalle app mobili oppure svolgendo un’attività di reverse engineering. Facile, quindi, che Twilio si sia attivata per migliorare la sicurezza delle chiamate inviate verso i server Authy dai singoli client degli utenti.
Gli utenti di Authy dovrebbero anche assicurarsi che i loro account mobili siano configurati per bloccare i trasferimenti di numero senza fornire un codice di sicurezza o disattivare le protezioni.
Infine, come evidenziato anche in precedenza, gli utenti di Authy dovrebbero stare in guardia e non dare credito a SMS phishing trasmessi sulle loro numerazioni con il preciso obiettivo di rubare altri dati personali.