Twilio 提醒 Authy 双因素应用程序用户“威胁行为者”掌握了他们的电话号码

Twilio 表示，有人获取了与其双因素身份验证服务 (2FA) Authy 相关的电话号码，因为 此前有报道称 >。 在一个 安全警报 周一，Twilio 警告称，“威胁行为者”可能会试图利用被盗的电话号码进行网络钓鱼攻击和其他诈骗行为。

此次事件发生在 2022 年的一次数据泄露事件之后，当时一次网络钓鱼活动诱骗员工泄露了他们的登录凭据。攻击者访问了 163 个 Twilio 帐户的数据，并成功访问和注册了 93 个 Authy 帐户上的其他设备。

Twilio 将此次泄漏追溯到“一个未经身份验证的端点”，此后它已对其进行了保护。上周，威胁行为者 ShinyHunters 公布了名单 暗网上 Authy 账户中的 3300 万个电话号码。 指出 哔哔电脑，威胁行为者似乎通过将大量电话号码列表输入到 Authy 不安全的 API 端点来获取信息，然后验证这些电话号码是否与应用程序相关联。

Twilio 写道：“我们鼓励所有 Authy 用户保持警惕，并提高对所收到短信的警惕性。”它补充说，“没有证据表明威胁行为者获得了对 Twilio 系统或其他敏感数据的访问权限”，并且 Authy 帐户没有受到损害。Twilio 建议用户更新 Android 和 iOS 上的 Authy 应用程序（ Authy 桌面应用程序已停用）。