News

Authy offenbart Telefonnummern von 33 Millionen Nutzer:innen

Eine Situation bei Authy hat dazu geführt, dass die Telefonnummern von 33 Millionen Nutzer:innen der beliebten 2FA-Sicherheitsapp in die Hände von Angreifer:innen gelangt sind. Diese Entwicklung erhöht das Risiko von Phishing-Angriffen erheblich.

Twilio bestätigt den Vorfall

Twilio, der Entwickler von Authy, hat den Sicherheitsvorfall bestätigt und fordert die Nutzer:innen auf, zwei wichtige Vorsichtsmaßnahmen zu treffen. Bei der Zwei-Faktor-Authentifizierung (2FA) wird bei der Anmeldung zusätzlich zu den Anmeldedaten ein einmaliges Passwort abgefragt, das von einer App generiert wird. Authy ist eine der beliebtesten 2FA-Apps im App Store.

Ein:e Hacker:in behauptete letzte Woche, die Telefonnummern von 33 Millionen Authy-Nutzer:innen erbeutet zu haben. Twilio hat dies nun bestätigt, ohne die genaue Anzahl der betroffenen Konten zu nennen. Die Bedrohungsakteure konnten Daten im Zusammenhang mit Authy-Konten, einschließlich Telefonnummern, aufgrund eines nicht authentifizierten Endpunkts identifizieren. Twilio hat Maßnahmen ergriffen, um diesen Endpunkt zu sichern und erlaubt keine nicht authentifizierten Anfragen mehr. Es gibt keine Hinweise darauf, dass die Angreifer:innen Zugriff auf Twilios Systeme oder andere sensible Daten erhalten haben.

Maßnahmen und Vorsichtsmaßnahmen

Der Entwickler fordert alle Nutzer:innen auf, die neueste Version der App zu installieren und aufmerksam auf verdächtige Textnachrichten zu reagieren.

“Als Vorsichtsmaßnahme bitten wir alle Authy-Nutzer:innen, die neuesten Android- und iOS-Apps zu aktualisieren, um die neuesten Sicherheitsupdates zu erhalten. Auch wenn Authy-Konten nicht kompromittiert wurden, könnten Bedrohungsakteure die Telefonnummern der Authy-Konten für Phishing- und Smishing-Angriffe nutzen. Wir empfehlen allen Authy-Nutzer:innen, wachsam zu bleiben und ein erhöhtes Bewusstsein für die empfangenen Nachrichten zu entwickeln.”

Die größte Gefahr besteht darin, dass ein:e Angreifer:in nun drei Dinge über Dich weiß:

  • Deine Telefonnummer
  • Dass Du 2FA verwendest
  • Dass Du speziell Authy nutzt

Diese Informationen können genutzt werden, um überzeugende Texte zu erstellen, die beispielsweise vorgeben, von einem Deiner Dienste zu stammen und ein Problem mit der Zwei-Faktor-Authentifizierung melden oder behaupten, von Twilio zu sein.

Hintergrund und weitere Risiken

TechCrunch berichtet, dass derselbe Hacker hinter einer Phishing-Kampagne stecken soll, bei der die Anmeldedaten von rund 10.000 Mitarbeiter:innen verschiedener Unternehmen gestohlen wurden. Ein Phishing-Angriff war auch die Ursache für den Evolve-Datenverstoß, bei dem wahrscheinlich sensible persönliche Informationen von Kund:innen von Wise und anderen Fintech-Unternehmen kompromittiert wurden.

Dies ist das zweite Mal in den letzten Wochen, dass eine Sicherheitslücke bei einem Cybersicherheitsunternehmen aufgetreten ist, nachdem die Foto-IDs eines Identitätsverifizierungsdienstes, der von vielen Tech-Giganten genutzt wird, offengelegt wurden. Ein Angriff auf den Entwickler einer 2FA-App steht ebenfalls weit oben auf der Liste der Unternehmen, die man nicht gehackt sehen möchte.

Update und Anmerkung der Redaktion: Twilio hat uns darauf aufmerksam gemacht, dass es sich nicht um einen „Hack“ handelt und wir diese Begriffe aus dem Titel und dem Text entfernen sollen. Außerdem hat man uns folgendes Statement geschickt:

Twilio hat festgestellt, dass unbekannte Personen aufgrund eines nicht authentifizierten Endpunkts in der Lage waren, Daten in Verbindung mit Authy-Konten, einschließlich Telefonnummern, zu identifizieren. Wir haben Maßnahmen ergriffen, um diesen Endpunkt zu sichern und lassen keine unauthentifizierten Anfragen mehr zu. Wir haben keine Hinweise darauf, dass die unbekannten Täter in die Systeme von Twilio eingedrungen sind oder sich Zugang zu den Systemen von Twilio oder anderen sensiblen internen Daten verschafft haben. Als Vorsichtsmaßnahme empfehlen wir alle Authy-Benutzer, die neuesten Sicherheitsupdates für Android- und iOS-Apps zu installieren, und raten allen Authy-Benutzern, auf Phishing- und Smishing-Attacken zu achten und ein erhöhtes Bewusstsein zu haben.

Wir verstehen die Ansicht von Twilio, dass es sich nicht um einen „Hack“ im eigentlichen Sinne handelt. Man kann hier durchaus unterschiedlicher Ansicht sein. Wenn man auf Nutzer:innen-Daten zugreift (über welche Weise auch immer!), kann das auch durchaus als Hack bezeichnet werden. Wir haben aber entschieden, die Worte im Text und der Überschrift zu entfernen.

Quelle: 9To5Mac

Michael Reimann

Neueste Artikel

iOS 18.2.1: Kleines Update für Dein iPhone steht bevor

Apple arbeitet bereits an der nächsten Aktualisierung für iPhones mit iOS 18.2.1, die in den kommenden Wochen veröffentlicht werden könnte.…

22. Dezember 2024

Anker USB-C Hub 10-in-1 Aluminium-Monitorstandfuß: Ordnung und Funktionalität auf dem Schreibtisch

Der Anker USB-C Hub, 10-in-1 Aluminium-Monitorstandfuß, kombiniert eine Dockingstation mit einem ergonomischen Monitorständer. Die Lösung richtet sich an Nutzer:innen, die…

21. Dezember 2024

Die Top 5 Apple-Produkte, auf die Du Dich 2025 freuen kannst

Das Jahr 2025 verspricht ein aufregendes Jahr für Apple zu werden, mit einer Vielzahl neuer Produkte und Technologien. Von einem…

21. Dezember 2024

AirTags und Airlines: Neue iOS 18.2-Funktion erleichtert das Finden verlorener Gegenstände

Mit iOS 18.2 hat Apple die AirTags um ein praktisches neues Feature erweitert. Die Funktion „Standort eines Objekts teilen“ ermöglicht…

20. Dezember 2024

iCloud-Backups für iOS 8 und ältere Geräte eingestellt

Apple hat die Unterstützung für iCloud-Backups auf iPhones und iPads mit iOS 8 oder älteren Versionen beendet. Die Änderung, die…

20. Dezember 2024

Apple warnt vor Datenschutzrisiken durch Interoperabilitätsanforderungen der EU-DMA

Apple hat Bedenken geäußert, dass die Interoperabilitätsanforderungen des Digital Markets Act (DMA) der Europäischen Union möglicherweise genutzt werden könnten, um…

19. Dezember 2024

Diese Website benutzt Cookies um Ihr Nutzererlebnis zu verbessern. Wenn Sie diese Website weiter nutzen, gehen wir von Ihrem Einverständnis aus.

Mehr lesen