Authy: Hacker greifen Millionen von Telefonnummern über eine ungesicherte API ab
Nachdem Kriminelle eine CSV-Datei mit Telefonnummern von angeblich 33 Millionen Authy-Nutzern geleakt haben, drohen unter anderem SMS-Phishing-Attacken.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Twilio hat gemeldet, dass Angreifer Daten von Authy-Accounts abgegriffen haben. Darunter sollen die Telefonnummern der Betroffenen sein. Die Angreifer, die im Netz als ShinyHunters auftreten, haben offenbar einen ungesicherten API-Endpunkt für einen Scraping-Angriff genutzt.
Laut der offiziellen Bekanntmachung von Twilio gibt es keine Anzeichen, dass die Angreifer Zugriff auf andere sensible Daten oder die internen Backend-Systeme erlangt haben.
Update der App und Gefahr von SMS-Phishing
In der Bekanntmachung bittet Twilio alle User, das jüngste Update der Authy-App für Android und iOS zu nutzen. Authy ist eine Anwendung, die Codes für die Anmeldung über Multi-Faktor-Authentifizierung (MFA) erstellt. Die Desktop-Variante hat Twilio im Februar 2024 eingestellt. Da der Angriff im Backend von Twilio stattfand, stellt sich die Frage, wie die Updates der Apps die User schützen.
Wer die App nutzt, sollte sich zumindest auf potenzielle SMS-Phishing-Angriffe einstellen, die dazu dienen können, weitere Informationen abzugreifen. Als Folge sind unter anderem SIM-Swapping-Angriffe denkbar – in Deutschland ist die Bedrohung dadurch jedoch sehr überschaubar. Dabei geben sich die Betrüger etwa beim Mobilfunkbetreiber als Anschlussinhaber aus und melden Telefon und SIM-Karte als gestohlen, um eine neue SIM-Karte mit der jeweiligen Nummer zu erhalten.
Angreifer veröffentlichen Beispieldaten
Das Security-Newsportal Bleeping Computer nennt weitere Details des Angriffs. Demnach hat eine Gruppe, die sich ShinyHunters nennt, eine CSV-Textdatei mit gut 33 Millionen Datensätzen veröffentlicht. Neben den Account-IDs und der Telefonnummern enthalten sie die Informationen über den Status des Accounts (account_status), die Zahl der Geräte (device_count) sowie wohl Informationen dazu, ob Geräte gesperrt sind (device_lock).
(Bild: Bleeping Computer)
Laut Bleeping Computer haben die Angreifer unzählige Telefonnummern an den ungesicherten API-Endpunkt geschickt. Für Nummern, die in der Authy-User-Datenbank enthalten waren, hat der Endpunkt Informationen zu dem jeweiligen Datensatz zurückgegeben.
Auch wenn zumindest in den veröffentlichten Daten keine sensiblen Informationen wie Kreditkartennummern enthalten sind, haben die Angreifer durch die Rückmeldung der API zumindest die Bestätigung, dass eine Telefonnummer bei Authy registriert ist.
Blick in den Rückspiegel
Der Vorfall erinnert an einige frühere Ereignisse: 2019 hatten Angreifer über 400 Millionen Telefonnummern von Facebook-Nutzern (heute Meta) veröffentlicht. Anfang 2024 hatten Angreifer zudem eine öffentliche Trello-API missbraucht, um E-Mail-Adressen mit Daten von Trello-Profilen zu verknüpfen.
Twilio stand Ende 2022 nach einem Phishing-Angriff auf Mitarbeiter im Fokus, als in dessen Folge Angreifer Zugriff auf Kundendaten hatten. Auch Nutzer des Messengers Signal waren von dem Angriff betroffen.
(rme)
