Twilio, la socit de communication sur le cloud, est bien connue pour ses services de messagerie et dappels. Lune de ses applications populaires est Authy, qui permet aux utilisateurs de mettre en place une authentification deux facteurs (2FA) pour renforcer la scurit de leurs comptes en ligne. Cependant, rcemment, Twilio a t confront une violation de donnes majeure ; les attaquants ont pu rcuprer 33 millions de numros de tlphone. En 2022, Twilio a rvl avoir subi des violations en juin et en aot qui ont permis des cybercriminels de pntrer dans son infrastructure et d’accder aux informations des clients d’Authy.
Twilio Inc. est une socit amricaine de communications en nuage base San Francisco, en Californie, qui fournit des outils de communication programmables permettant de passer et de recevoir des appels tlphoniques, d’envoyer et de recevoir des messages textuels et d’excuter d’autres fonctions de communication l’aide de ses API de services web.
Pour ceux qui ne connaissent pas Authy, il s’agit d’un outil d’authentification multi-facteurs (MFA) populaire, que Twilio a acquis en 2015. L’application mobile gnre des codes d’authentification multifactorielle sur les sites web o elle est active.
Fin juin, un dnomm ShinyHunters a divulgu un fichier texte CSV contenant ce qu’il prtend tre 33 millions de numros de tlphone enregistrs avec le service Authy. Le fichier CSV contient 33 420 546 lignes, chacune contenant un identifiant de compte, un numro de tlphone, une colonne « over_the_top », l’tat du compte et le nombre d’appareils.
Comment cela sest-il produit ?
Voici le communiqu de Twilio sur le sujet :
Twilio estime que la scurit de ses produits et des donnes de ses clients est d’une importance capitale et lorsqu’un incident se produit qui pourrait menacer cette scurit, nous vous en informons.
Twilio a dtect que des acteurs menaants ont pu identifier des donnes associes aux comptes Authy, y compris des numros de tlphone, en raison d’un point de terminaison non authentifi. Nous avons pris des mesures pour scuriser ce point d’accs et ne plus autoriser les requtes non authentifies.
Nous n’avons vu aucune preuve que les acteurs de la menace ont obtenu l’accs aux systmes de Twilio ou d’autres donnes sensibles. Par prcaution, nous demandons tous les utilisateurs d’Authy de mettre jour les dernires applications Android et iOS pour les dernires mises jour de scurit. Bien que les comptes Authy ne soient pas compromis, les acteurs de la menace peuvent essayer d’utiliser le numro de tlphone associ aux comptes Authy pour des attaques de phishing et de smishing ; nous encourageons tous les utilisateurs d’Authy rester vigilants et tre plus attentifs aux textes qu’ils reoivent .
En clair, la fuite de donnes a t rendue possible par un point daccs non authentifi. En dautres termes, les pirates ont trouv une faille dans le systme qui leur a permis daccder aux informations. Twilio a rapidement identifi et corrig cette vulnrabilit, mais les consquences sont dj l.
Utilisation abusive d’API non scurises
Les donnes ont t compiles en introduisant une liste massive de numros de tlphone dans le point de terminaison API non scuris. Si le numro tait valide, le point de terminaison renvoyait des informations sur les comptes associs enregistrs avec Authy. Maintenant que l’API a t scurise, elle ne peut plus tre utilise de manire abusive pour vrifier si un numro de tlphone est utilis avec Authy.
Cette technique est similaire la manire dont les cybercriminels ont abus d’une API Twitter et d’une API Facebook non scurises pour compiler les profils de dizaines de millions d’utilisateurs contenant la fois des informations publiques et non publiques.
Bien que cet ensemble de donnes ne contienne que des numros de tlphone, ils peuvent toujours tre avantageux pour les utilisateurs qui cherchent mener des attaques de smishing et d’change de cartes SIM pour violer des comptes. D’ailleurs, ShinyHunters y fait allusion dans son message en dclarant : « You guys can join it on gemini or Nexo db », suggrant que les cybercriminels comparent la liste des numros de tlphone ceux qui ont t divulgus lors des violations de donnes prsumes de Gemini et de Nexo.
Si des correspondances sont trouves, les cybercriminels pourraient tenter d’effectuer des attaques d’change de SIM ou des attaques d’hameonnage pour pntrer dans les comptes d’change de crypto-monnaies et voler tous les actifs.
Quelles sont les implications pour les utilisateurs ?
- Risque de phishing : Les pirates connaissent dsormais trois choses vous concernant : votre numro de tlphone, votre utilisation de lauthentification deux facteurs et votre utilisation spcifique dAuthy. Ils pourraient utiliser ces informations pour crer des messages persuasifs, prtendant provenir dun de vos services et vous demandant de rinitialiser votre 2FA.
- Vigilance requise : Twilio recommande tous les utilisateurs dAuthy de mettre jour vers la dernire version de lapplication sur Android et iOS. Soyez galement vigilant face aux messages suspects. Si vous recevez un SMS ou un appel inhabituel, vrifiez toujours lauthenticit avant de fournir des informations.
Le fait de savoir quels numros de tlphone sont utiliss pour Authy offre aux pirates de nouveaux moyens de mener des attaques de phishing et de contourner le MFA de leurs victimes. Par exemple, les cybercriminels pourraient se faire passer pour Authy et contacter les utilisateurs par SMS pour leur demander de partager des codes sensibles au temps afin d’accder diffrents comptes.
Si les attaquants sont capables d’numrer une liste de numros de tlphone d’utilisateurs, ils peuvent alors prtendre tre Authy/Twilio auprs de ces utilisateurs, ce qui augmente la crdibilit d’une attaque de phishing sur ce numro de tlphone , a dclar Rachel Tobac, PDG de SocialProof Security, la publication.
Twilio est une plateforme de communication en nuage conue pour les entreprises qui souhaitent intgrer des communications en temps rel dans leurs applications logicielles.
Que faire pour se protger ?
- Mettez jour Authy : Assurez-vous davoir la dernire version dAuthy installe sur votre tlphone. Les mises jour peuvent inclure des correctifs de scurit importants.
- Surveillez vos messages : Soyez attentif aux SMS et aux appels inattendus. Si quelque chose semble suspect, ne rpondez pas immdiatement. Vrifiez plutt lauthenticit de la demande.
- Changez vos codes daccs : Si vous pensez que votre compte a t compromis, changez immdiatement vos codes daccs et surveillez vos comptes pour toute activit inhabituelle.
Twilio a publi une nouvelle mise jour de scurit et recommande aux utilisateurs de mettre jour Authy Android (v25.1.0) et iOS App (v26.1.0), qui comprend des mises jour de scurit. Il n’est pas clair comment cette mise jour de scurit aide protger les utilisateurs contre les acteurs de la menace qui utilisent les donnes rcupres dans les attaques.
Les utilisateurs d’Authy doivent galement s’assurer que leurs comptes mobiles sont configurs pour bloquer les transferts de numros sans fournir de code d’accs ou dsactiver les protections de scurit.
En outre, les utilisateurs d’Authy doivent tre attentifs aux attaques potentielles de phishing par SMS qui tentent de voler des donnes plus sensibles, telles que les mots de passe.
Ce n’est pas la premire violation de donnes inflige Twilio
En 2022, Twilio a t victime d’une violation de donnes plus importante, lorsqu’un groupe de pirates a accd aux donnes de plus de 100 clients de l’entreprise. Les pirates ont ensuite lanc une vaste campagne d’hameonnage qui a abouti au vol d’environ 10 000 informations d’identification d’employs d’au moins 130 entreprises. Dans le cadre de cette violation, Twilio a dclar que les pirates avaient russi cibler 93 utilisateurs individuels d’Authy et avaient pu enregistrer des dispositifs supplmentaires sur les comptes Authy de ces victimes, ce qui leur a permis de voler de vritables codes deux facteurs.
l’poque, la socit de cyberscurit Group-IB a indiqu que l’attaque contre Twilio faisait partie d’une campagne plus large mene par le groupe de pirates informatiques qu’elle appelle « 0ktapus », en rfrence la faon dont les pirates ciblent principalement les organisations qui utilisent Okta comme fournisseur d’authentification unique.
Group-IB, qui a lanc une enqute aprs que l’un de ses clients a t la cible d’une attaque de phishing lie, a dclar dans ses conclusions que la grande majorit des entreprises cibles ont leur sige social aux tats-Unis ou ont du personnel bas aux tats-Unis. Les attaquants ont vol au moins 9 931 identifiants d’utilisateurs depuis mars, selon les conclusions de Group-IB, dont plus de la moiti contiennent des codes d’authentification multi-facteurs capturs utiliss pour accder au rseau d’une entreprise.
Il arrive souvent que des images, des polices ou des scripts soient suffisamment uniques pour permettre d’identifier les sites de phishing conus avec le mme kit de phishing , a dclar Roberto Martinez, analyste principal des renseignements sur les menaces chez Group-IB. Dans ce cas, nous avons trouv une image qui est lgitimement utilise par les sites utilisant l’authentification Okta et qui est utilise par le kit d’hameonnage .
Source : Twilio (1, 2), Group-IB
Et vous ?
Quelles mesures de scurit supplmentaires utilisez-vous pour protger vos comptes en ligne ? Partagez vos pratiques en matire dauthentification deux facteurs (2FA) et de scurit des mots de passe.
Avez-vous dj t victime de phishing ou dune tentative dhameonnage ? Partagez vos expriences et discutez des signes avant-coureurs que vous avez remarqus.
Comment choisissez-vous vos applications dauthentification deux facteurs ? Indiquez vos critres de slection et vos prfrences.
Pensez-vous que les entreprises devraient tre plus transparentes en cas de violation de donnes ? Pensez la communication des entreprises lorsquune violation se produit.
Quelles autres prcautions prenez-vous pour protger vos informations personnelles en ligne ? voquez vos meilleures pratiques.