TechCrunch 报道称,黑客组织 “ShinyHunters” 在一个知名的黑客论坛上炫耀他们窃取了 3300 万个手机号码,这些号码是通过 Twilio 所谓的“认证端点”获取的。
美国消息传递巨头 Twilio 本周证实,”威胁行为者” 进入了其服务器,导致用户手机号码被盗,但没有具体说明有多少号码被盗。该公司表示,已采取措施来修复漏洞,防止类似的未经授权的请求发生在未来。
“我们没有发现任何证据表明威胁行为者获得了对 Twilio 系统或其他敏感数据的访问权限,”该公司在 博客文章中说道。 “虽然 Authy 帐户没有被盗,但威胁行为者可能会利用与 Authy 帐户相关的手机号码进行钓鱼和网络钓鱼攻击;我们建议所有 Authy 用户保持警惕,并对收到的短信保持高度警觉。”
正如 Twilio 所指出的,获取手机号码列表本身可能不会构成严重的安全威胁。然而,攻击者可以设想联系用户,声称自己是 Authy 或者 Twilio 的代表,以便在钓鱼攻击中诱使他们泄露个人信息。
用户应该更新到最新的 iOS 应用版本,可在 App Store 上获取。Twilio 还建议无法访问其 Authy 帐户的用户立即联系其支持团队。
- 如何使用 Safari 内置的 2FA 代码生成器
年初,Authy 宣布将于 2024 年 8 月关闭其 Mac 和 Linux 桌面应用,但最终将日期提前了。这些应用随后在 3 月份被关闭。
**分析:** 这次事件凸显了在网络安全方面,即使是像 Twilio 这样的知名公司也可能存在漏洞。攻击者会不断寻找新的攻击方法,因此用户需要保持警惕,采取措施保护自己的信息安全。此外,对 2FA 安全机制的依赖也需要提升警惕,因为攻击者可能会利用 2FA 来进行更复杂的攻击。