Recientemente, Twilio ha confirmado que un endpoint de API sin asegurar permitió a actores malintencionados verificar los números de teléfono de millones de usuarios de la autenticación multifactor (MFA) de Authy, lo que potencialmente los deja vulnerables a ataques de phishing por SMS y SIM swapping.
Authy, una aplicación móvil que genera códigos de autenticación multifactor para sitios web con MFA habilitado, ha sido objeto de una filtración significativa. En junio, un actor de amenazas conocido como ShinyHunters divulgó un archivo CSV que supuestamente contiene 33 millones de números de teléfono registrados en el servicio de Authy.
Detalles de la Filtración
El archivo CSV filtrado, que contiene más de 33 millones de filas, incluye información como ID de cuenta, número de teléfono, estado de la cuenta y la cantidad de dispositivos vinculados. Twilio ha confirmado que los actores de amenazas recopilaron esta lista de números de teléfono utilizando un endpoint de API sin autenticar, lo que permitió verificar si los números de teléfono estaban asociados con cuentas de Authy.
Respuesta de Twilio
Twilio ha tomado medidas para asegurar este endpoint y ha informado que ya no permite solicitudes no autenticadas. La compañía también aseguró que no hay evidencia de que los actores de amenazas hayan obtenido acceso a otros sistemas de Twilio o datos sensibles. Como medida de precaución, Twilio ha solicitado a todos los usuarios de Authy que actualicen a las últimas versiones de las aplicaciones de Android e iOS, e insta a los usuarios a mantenerse vigilantes ante posibles ataques de phishing y smishing.
Vulnerabilidades de las APIs no Seguras
El incidente pone de relieve los riesgos asociados con las APIs no seguras. Los actores de amenazas han utilizado técnicas similares en el pasado, como abusar de APIs no seguras de Twitter y Facebook para compilar perfiles de decenas de millones de usuarios. En el caso de Authy, aunque la filtración solo contiene números de teléfono, estos pueden ser utilizados para llevar a cabo ataques de smishing y SIM swapping.
Recomendaciones de Seguridad
Twilio ha lanzado una nueva actualización de seguridad y recomienda que los usuarios actualicen a Authy Android (v25.1.0) y iOS App (v26.1.0) para incluir las últimas mejoras de seguridad. Aunque no está claro cómo esta actualización protegerá específicamente contra el uso indebido de los datos filtrados, es esencial que los usuarios se mantengan informados y tomen medidas preventivas.
Este incidente subraya la importancia de la seguridad en el diseño y la implementación de APIs. Las empresas deben asegurar todos los puntos de acceso a sus sistemas para proteger los datos sensibles de los usuarios. La comunidad de ciberseguridad debe continuar trabajando en conjunto para identificar y mitigar estas vulnerabilidades antes de que puedan ser explotadas.
