雲端通訊平臺Twilio本周發布安全警告,並更新了Android版與iOS版的Twilio Authy程式。根據TechCrunch的報導,知名駭客集團ShinyHunters宣稱已成功駭入Twilio,並取得3,300萬名Authy用戶的電話號碼。

成立於2008年的Twilio為美國上市公司,為一雲端通訊平臺供應商,讓開發人員能夠將各種通訊功能整合到應用程式中,除了多元的通訊API之外,Twilio亦提供客服平臺Twilio Flex、Twilio IoT與Super SIM物聯網解決方案,以及Authy等多因素身分驗證解決方案。此次出問題的即是Authy。

安裝了Authy之後,使用者可於裝置上生成雙因素身分驗證的權杖,Authy也提供雲端備份服務,支援裝置同步功能,並可離線生成權杖,相容於臉書、Dropbox、Amazon及Gmail等支援多因素身分驗證的數千種應用。

本周Twilio坦承,他們發現駭客可經由一個未經身分驗證的端點,辨識與Authy帳戶有關的資料,包括電話號碼在內。已經採取措施來保護該端點,不再允許未經身分驗證的請求。

此外,Twilio也強調,並未有任何證據表明駭客取得了存取Twilio系統或其它機密資料的權限,但為了預防萬一,要求所有Authy用戶更新至最新的Android與iOS程式。Twilio說,雖然Authy帳戶並未受到危害,但駭客可能會利用所取得的電話號碼,針對Authy用戶展開網釣攻擊,提醒使用者提高警覺。

熱門新聞

Advertisement