Veszélybe kerültek az Authy felhasználók telefonszámai

​A Twilio rendszere egy olyan biztonsági hibát tartalmazott, amelyen keresztül milliószámra váltak ellenőrizhetővé telefonszámok.
 

Június végén az egyik alvilági fórumon felbukkant egy olyan CSV-fájl, amelyben több mint 33 millió telefonszám volt megtalálható. Az állomány publikálója azt állította, hogy a fájlban Twilio rendszerében szereplő (Authy) felhasználói telefonszámok szerepelnek. Az állomány felbukkanását követően a Twilio vizsgálatot indított, és végül kiderült, hogy a rendszerén egy súlyos biztonsági rés tátongott.
 
A kétfaktoros hitelesítést támogató Authy alkalmazások és szolgáltatások világszerte széles körben használatosak (bár a számítógépekre fejlesztett kliensek fejlesztésével éppen nemrégen hagyott fel a cég, nem kis zúgolódást keltve ezzel a felhasználók között). Mivel biztonsági szolgáltatásokat nyújt a cég, ezért fokozott elvárások vannak a rendszereinek védelmével szemben. Ezen elvárásoknak nem igazán tudott most megfelelni, hiszen kiderült, hogy a 33 milliós lista létrejöttéhez egy súlyos sérülékenység járult hozzá.
 
A vizsgálatok feltárták, hogy a biztonsági hibát a Twilio egyik API-ja tartalmazta, mivel az nem volt megfelelően védve a jogosulatlan használat ellen. Ennél fogva korlátlan számban lehetett felhasználni telefonszámok ellenőrzésére. Vagyis bárki megtudhatta egy (vagy akár több millió) telefonszámról, hogy az létezik-e a Twilio Authy adatbázisában valamely felhasználói profilhoz kapcsolódóan. Emellett néhány kiegészítő adat birtokába is juthatott az, aki használta az API-t. Így például egy Twilionál létező telefonszámmal kapcsolatba kideríthette, hogy az aktív felhasználói fiókhoz tartozik-e, és hogy a fiókhoz hány eszköz van társítva. Pontosan ezek az adatok szerepeltek a múlt havi, 33 milliós fájlban is.
 

 
 
Olvassa tovább
Prémium előfizetéssel!
 
  1. 4

    A Trend Micro Deep Security biztonsági hibajavításokat kapott.

  2. 3

    A VMware Aria Operations sebezhetősége jogosultsági szint emelést tesz lehetővé.

  3. 4

    A Google Chrome ismét jelentős biztonsági frissítést kapott.

  4. 3

    A Canon egyes nyomtatódriverei kapcsán három biztonsági hibára derült fény.

  5. 4

    A Draytek két biztonsági hibáról számolt be egyes routerei kapcsán.

  6. 3

    A Zulip Server két biztonsági hibát tartalmaz.

  7. 3

    Az Apple 22 biztonsági rést foltozott be az iOS/iPadOS operációs rendszerein.

  8. 4

    Az Apple 41 javítással tette biztonságosabbá a macOS-t.

  9. 3

    A Splunk Enterprise-hoz öt biztonsági javítás érkezett.

  10. 3

    Hét patch jelent meg a GitLab alkalmazásokhoz.

Partnerhírek
Pályázati Felhívás - „Az év információbiztonsági tartalom előállítója 2025”

A 2004-ben alakult Hétpecsét Információbiztonsági Egyesület céljai között szerepel az információvédelem kultúrájának és ismereteinek magyarországi terjesztése. Ezzel a célunkkal összhangban 2025-ben ismét meghirdetjük a „Az év információbiztonsági tartalom előállítója - 2025” pályázatot.

8 tipp a félelemkeltő csalások elleni védelemhez

A félelem hatékony fegyver, és a hackerek tudják, hogyan győzzék meg az embereket, hogy azonnali és meggondolatlan lépéseket tegyenek.

hirdetés
Közösség