La semana pasada, un hacker afirmó haber robado 33 millones de números de teléfono del gigante estadounidense de mensajería Twilio. El martes, Twilio confirmó a TechCrunch que los “agentes de amenazas” pudieron identificar el número de teléfono de las personas que usan Authy, una popular aplicación de autenticación de dos factores propiedad de Twilio.
En una publicación en un conocido foro de piratería, el hacker o hackers conocidos como ShinyHunters escribieron que hackearon Twilio y obtuvieron los números de teléfonos celulares de 33 millones de usuarios.
Kari Ramirez, portavoz de Twilio, dijo a TechCrunch que la empresa “ha detectado que los actores de amenazas pudieron identificar datos asociados con las cuentas de Authy, incluidos los números de teléfono, debido a un punto final no autenticado. Hemos tomado medidas para proteger este punto final y ya no permitir solicitudes no autenticadas”.
“No hemos visto evidencia de que los actores de amenazas hayan obtenido acceso a los sistemas de Twilio u otros datos confidenciales. Como medida de precaución, solicitamos a todos los usuarios de Authy que actualicen las aplicaciones de Android e iOS a las últimas actualizaciones de seguridad y alentamos a todos los usuarios de Authy a que sean diligentes y tengan mayor conciencia sobre los ataques de phishing y smishing”, escribió Ramírez en un correo electrónico.
Twilio también publicó una alerta en su sitio web oficial el lunes, incluyendo la misma declaración.
Si bien obtener una lista de números de teléfono, por sí sola, puede no parecer la violación de datos más peligrosa, aún podría representar una amenaza para los propietarios de esos números.
“Si los atacantes pueden enumerar una lista de números de teléfono de usuarios, entonces pueden hacerse pasar por Authy/Twilio ante esos usuarios, aumentando la credibilidad de un ataque de phishing a ese número de teléfono”, dijo a TechCrunch Rachel Tobac, experta en ingeniería social y directora ejecutiva de SocialProof Security.
Tobac explicó que ahora los piratas informáticos pueden apuntar específicamente a personas que saben que son usuarios de Authy, lo que les da la oportunidad de hacer que parezca que sus mensajes maliciosos realmente provienen de Authy y Twilio.
En 2022, Twilio sufrió una filtración de datos más grande, cuando un grupo de piratas informáticos accedió a los datos de más de 100 clientes de la empresa. Armados con esa información, los piratas informáticos lanzaron una campaña de phishing de amplio alcance que resultó en el robo de alrededor de 10.000 credenciales de empleados de al menos 130 empresas. Como parte de esa filtración en ese momento, Twilio dijo que los piratas informáticos atacaron con éxito a 93 usuarios individuales de Authy y pudieron registrar dispositivos adicionales en las cuentas de Authy de esas víctimas, lo que les permitió robar efectivamente códigos de dos factores reales.