La société américaine spécialisée dans l’authentification à double facteur a confirmé la fuite des numéros de téléphone de 33 millions de clients. Elle assure toutefois que l’acteur malveillant n’a pas eu accès à ses systèmes ou à toute autre donnée sensible. Elle met en garde ses utilisateurs contre tout risque de phishing et smishing.
Mots de passe forts, MFA, même avec une ou plusieurs couches de sécurité supplémentaires pour s’authentifier, le risque zéro n’existe pas. Preuve en est la société américaine Twilio qui développe l’application d’authentification à deux facteurs (2FA) Authy, victime d’un piratage massif fin juin. Un acteur malveillant se faisant appeler ShinyHunters a collecté les numéros de téléphone de plus de 33 millions d’utilisateurs.
Dans un billet de sécurité, l’entreprise a expliqué avoir « détecté que les acteurs malveillants étaient en mesure d'identifier les données associées aux comptes Authy, y compris les numéros de téléphone, grâce à un point de terminaison (API) non authentifié. » Des mesures de sécurité ont été prises afin que ce point de terminaison ne puisse plus autoriser des demandes d’authentification.
Un risque de SIM Swapping
Twilio a assuré que rien ne laissait présager que les acteurs malveillants aient obtenu un accès à son système et à des données sensibles. Elle enjoint toutefois tous les utilisateurs d’Authy à mettre à jour leurs applications Android et iOS même si leurs comptes ne sont a priori pas compromis. Les numéros de téléphone subtilisés pourront toutefois servir à mener des attaques de phishing et de smishing. Bleeping Computer a également alerté sur un autre risque, celui de SIM Swapping qui consiste à récupérer une ligne téléphonique pour l’associer à un autre appareil.
Ce n’est pas la première fois que Twilio fait l’objet d’une violation de données. En 2022, des acteurs malveillants étaient parvenus à compromettre l’infrastructure de l’entreprise et à accéder à des informations, dont des identifiants d’employés d’entreprises clientes.