Hacker lạm dụng API để xác minh hàng triệu số điện thoại đăng ký xác thực đa yêu tố Authy
Công ty cung cấp dịch vụ Communication APIs Twilio (Mỹ) đã xác nhận rằng một API không bảo mật đã cho phép các tác nhân đe dọa xác minh số điện thoại của hàng triệu người dùng xác thực đa yếu tố Authy, khiến họ có khả năng bị tấn công lừa đảo qua tin nhắn SMS và tấn công hoán đổi SIM.
Authy là ứng dụng di động tạo mã xác thực đa yếu tố tại các trang web mà người dùng đã bật MFA.
Vào cuối tháng 6, một tác nhân đe dọa có tên ShinyHunters đã rò rỉ một tệp CSV chứa thông tin mà họ cho là 33 triệu số điện thoại đã đăng ký với dịch vụ Authy, trong đó có ID tài khoản, số điện thoại, trạng thái tài khoản và số lượng thiết bị.
Twilio hiện đã xác nhận rằng kẻ tấn công đã tạo ra danh sách số điện thoại bằng một API không yêu cầu xác thực.
Twilio cho biết: "Twilio phát hiện ra rằng kẻ tấn công có thể xác định dữ liệu liên quan đến tài khoản Authy, bao gồm số điện thoại, do API chưa được xác thực. Chúng tôi đã hành động để bảo mật API này và không còn cho phép các yêu cầu chưa được xác thực nữa. Đồng thời, chúng tôi không phát hiện bằng chứng nào cho thấy những kẻ tấn công đã truy cập được vào hệ thống của Twilio hoặc dữ liệu nhạy cảm khác. Để phòng ngừa, chúng tôi yêu cầu tất cả người dùng Authy cập nhật lên ứng dụng Android và iOS mới nhất để có bản cập nhật bảo mật mới nhất và khuyến khích tất cả người dùng Authy luôn cảnh giác và nâng cao nhận thức về các cuộc tấn công lừa đảo và tin nhắn giả mạo."
Năm 2022, Twilio đã tiết lộ rằng công ty đã bị vi phạm vào tháng 6 và tháng 8 , cho phép kẻ tấn công xâm nhập vào cơ sở hạ tầng và truy cập thông tin khách hàng của Authy.
Lạm dụng API không an toàn
Dữ liệu rò rỉ được tạo bằng cách truyền một danh sách lớn các số điện thoại vào API không an toàn. Nếu số điện thoại hợp lệ, API sẽ trả về thông tin về các tài khoản liên quan đã đăng ký với Authy.
Hiện API đã được bảo mật, nó không còn có thể bị lạm dụng để xác minh xem số điện thoại có được sử dụng với Authy hay không.
Kỹ thuật này tương tự như cách kẻ tấn công lợi dụng API Twitter và API Facebook không an toàn để xây dựng hồ sơ của hàng chục triệu người dùng có chứa cả thông tin công khai và không công khai.
Mặc dù dữ liệu thu thập được từ Authy chỉ chứa số điện thoại, chúng vẫn có thể có giá trị cho những đối tượng muốn thực hiện các cuộc tấn công lừa đảo và hoán đổi SIM để xâm phạm tài khoản.
Twilio hiện đã phát hành bản cập nhật bảo mật mới và khuyến nghị người dùng nâng cấp lên Authy Android (v25.1.0) và iOS App (v26.1.0) để được áp dụng bản cập nhật bảo mật.
Người dùng Authy cũng nên đảm bảo tài khoản di động của họ được cấu hình để chặn việc chuyển số mà không cần cung cấp mã xác thực (passcode) hoặc tắt tính năng bảo vệ (security protections).
Ngoài ra, người dùng Authy nên cảnh giác với các cuộc tấn công lừa đảo qua SMS tiềm ẩn nhằm đánh cắp dữ liệu nhạy cảm hơn, chẳng hạn như mật khẩu.
Theo Tạp chí An toàn thông tin