Twilio、「Authy」の多数の顧客電話番号流出を認めアプリ更新を呼び掛け
Twilioは、多要素認証ツール「Authy」のユーザーの多数の電話番号が流出したと発表した。ユーザーにアプリの最新版への更新を呼び掛けている。
クラウド電話APIを手掛ける米Twilioは7月1日(現地時間)、セキュリティ保護されていないAPIのエンドポイントにより、“脅威アクター”(攻撃者)が同社の多要素認証ツール「Authy」のユーザーの多数の電話番号を入手したことを確認したと発表した。「このエンドポイントを保護する措置を講じ、認証されていないリクエストを許可しないようにした」という。
Twilioはユーザーに対し、Authyのアプリをすぐに最新版(Androidはv25.1.0、iOSはv26.1.0)にアップデートするよう呼び掛けている。
この件については6月27日、ShinyHuntersとして知られる攻撃者がダークウェブ上で、Twilioをハッキングして入手したという約3300万人のユーザーの電話番号を含むCSVファイルを公開した。米BleepingComputerは、このファイルにAuthyのアカウントIDや電話番号が含まれていることを確認した。
BleepingComputerによると、攻撃者は膨大な電話番号リストをセキュリティで保護されていないAPIエンドポイントに入力することでデータを収集したという。有効な電話番号についてはエンドポイントがAuthyに登録されている関連アカウント情報を返してしまう。
TwilioがAPIを保護したため、この悪用はできなくなった。
Twilioは「Authyアカウントが侵害されることはありませんが、脅威アクターがAuthyアカウントに関連付けられた電話番号をフィッシングやスミッシング攻撃に利用しようとする可能性があります」と警告し、「すべてのAuthyユーザーに、受信するテキストメッセージについて注意を怠らず、高い意識を持っていただくようお願いします」と呼び掛けている。
同社は2022年にもフィッシング攻撃を受け、顧客データが漏えいしてる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
Twilioフィッシング攻撃はOktaになりすました大規模キャンペーンの一環──Group-IB報告
Twilioがデータを盗まれたフィッシング攻撃は、130以上の組織が対象の大規模キャンペーンの一環だったとGroup-IBが報告。Oktaになりすました攻撃は、米3大キャリアやMicrosoftも標的だったとしている。
E2EEメッセージのSignal、Twilioへのフィッシング攻撃でユーザー約1900人に影響
E2EEメッセージングアプリ「Signal」がTwilioへのフィッシング攻撃の影響を受けたと発表した。Twilioの番号認証サービスを利用しているため。約1900人のユーザーの電話番号とSMS確認コードが攻撃者の手に渡ったが、全員に通知済みだ。
クラウド電話APIサービスのTwilioにフィッシング攻撃で顧客データ漏えい
日本の企業も採用するAPIサービスのTwilioが、一部の顧客アカウント情報への不正アクセスがあったと発表した。従業員へのフィッシング攻撃が原因。攻撃者はまだ特定できていないが、「高度に洗練された組織」とみている。
クラウド電話APIの「Twilio」が日本法人設立 コールセンターシステムなど拡販
クラウド電話APIを提供する米Twilioが、日本法人「Twilio Japan」を設立。従来はKDDIウェブコミュニケーションズに営業活動などを一任していたが、今後は日本法人がマーケティングや直接販売を担う。コールセンターシステム「Twilio Flex」など4商品の普及に力を入れる。