2段階認証アプリAuthyの3300万ユーザー分の電話番号がサイバー犯罪者に盗まれる

メッセージングサービスのTwilioが、同社が所有する2段階認証アプリ「Authy」のユーザーの携帯電話番号がサイバー犯罪者によって盗まれたと発表しました。この発表は、サイバー犯罪者が3300万件の電話番号を盗んだと主張した1週間後に行われました。

Security Alert: Update to the Authy Android (v25.1.0) and iOS App (v26.1.0) | Twilio
https://www.twilio.com/en-us/changelog/Security_Alert_Authy_App_Android_iOS

Twilio says hackers identified cell phone numbers of two-factor app Authy users | TechCrunch
https://techcrunch.com/2024/07/03/twilio-says-hackers-identified-cell-phone-numbers-of-two-factor-app-authy-users/

犯行に及んだのは「ShinyHunters」という名前で知られる攻撃者あるいは攻撃グループで、ハッキングフォーラムに「Twilioをハッキングして3300万人のユーザーの携帯電話番号を入手した」と書き込んでいます。

当初、Twilioは電話番号の流出は確認できていないと発表していましたが、その後に発表ページを更新し、「Authyアカウントに関連付けられた、電話番号を含むデータ」が盗まれたことを認めました。

Twilioによると、ShinyHuntersは認証されていないエンドポイントを悪用して、同社が所有する2段階認証アプリAuthyのユーザーデータにアクセスしたとのこと。特に懸念されるのは、ユーザーの電話番号が特定されたことで、Twilioはこの脆弱性を修正し、認証されていないリクエストを遮断する措置を講じました。

今回の事件を受けて、Twilioは全てのAuthyユーザーに対して、最新のAndroidおよびiOSアプリにアップデートするよう要請しています。さらに、フィッシング攻撃やスミッシング攻撃（SMSを使用したフィッシング）に対する警戒を強めるよう呼びかけています。

Twilioがサイバー攻撃の被害に遭ったのは今回が初めてのことではなく、2022年にもサイバー攻撃グループによってTwilioの企業顧客100社以上のデータにアクセスされるというインシデントが発生しています。

ソーシャルエンジニアリングの専門家であるSocialProofのレイチェル・トバックCEOは、「攻撃者がユーザーの電話番号のリストを列挙できれば、攻撃者はユーザーに対してAuthyやTwilioのふりをすることができ、その電話番号に対するフィッシング攻撃の信憑性を高めることができます」と述べ、電話番号を盗まれる危険性を警告しました。