Veszélybe kerültek az Authy felhasználók telefonszámai

​A Twilio rendszere egy olyan biztonsági hibát tartalmazott, amelyen keresztül milliószámra váltak ellenőrizhetővé telefonszámok.
 

Június végén az egyik alvilági fórumon felbukkant egy olyan CSV-fájl, amelyben több mint 33 millió telefonszám volt megtalálható. Az állomány publikálója azt állította, hogy a fájlban Twilio rendszerében szereplő (Authy) felhasználói telefonszámok szerepelnek. Az állomány felbukkanását követően a Twilio vizsgálatot indított, és végül kiderült, hogy a rendszerén egy súlyos biztonsági rés tátongott.
 
A kétfaktoros hitelesítést támogató Authy alkalmazások és szolgáltatások világszerte széles körben használatosak (bár a számítógépekre fejlesztett kliensek fejlesztésével éppen nemrégen hagyott fel a cég, nem kis zúgolódást keltve ezzel a felhasználók között). Mivel biztonsági szolgáltatásokat nyújt a cég, ezért fokozott elvárások vannak a rendszereinek védelmével szemben. Ezen elvárásoknak nem igazán tudott most megfelelni, hiszen kiderült, hogy a 33 milliós lista létrejöttéhez egy súlyos sérülékenység járult hozzá.
 
A vizsgálatok feltárták, hogy a biztonsági hibát a Twilio egyik API-ja tartalmazta, mivel az nem volt megfelelően védve a jogosulatlan használat ellen. Ennél fogva korlátlan számban lehetett felhasználni telefonszámok ellenőrzésére. Vagyis bárki megtudhatta egy (vagy akár több millió) telefonszámról, hogy az létezik-e a Twilio Authy adatbázisában valamely felhasználói profilhoz kapcsolódóan. Emellett néhány kiegészítő adat birtokába is juthatott az, aki használta az API-t. Így például egy Twilionál létező telefonszámmal kapcsolatba kideríthette, hogy az aktív felhasználói fiókhoz tartozik-e, és hogy a fiókhoz hány eszköz van társítva. Pontosan ezek az adatok szerepeltek a múlt havi, 33 milliós fájlban is.
 
A Twilio közölte, hogy már megszüntette a szóban forgó API biztonsági hibáját, így az már nem használható telefonszám alapú, jogosulatlan, tömeges lekérdezésekhez, adatgyűjtésekhez.
 
A hasonló biztonsági problémák azért is kockázatosak, mert ezek révén a csalók pontos képet kaphatnak a személyes adatok valódiságáról, érvényességéről, és célzottabb, testre szabott adathalász támadásokat indíthatnak.
 
A Twilionak nem ez volt az első biztonsági incidense. Az eddigi legjelentősebb támadások 2022 nyarán érték a vállalatok, amikor a támadók hozzáférést szereztek az informatikai infrastruktúrájához, amelyből aztán felhasználói adatokhoz is hozzájutottak.
 
  1. 4

    Az IBM a QRadar SIEM platformja kapcsán egy biztonsági közleményt adott ki.

  2. 3

    A cPanelen négy biztonsági rés vált befoltozhatóvá.

  3. 3

    A Splunk Enterprise tizenegy biztonsági hibajavítással gyarapodott.

  4. 3

    Az IBM WebSphere Application Serverhez egy biztonsági hibajavítás vált letölthetővé.

  5. 3

    A VirtualBox frissítése öt biztonsági hibára nyújt megoldást.

  6. 4

    Az Oracle 45 biztonsági rést foltozott be a MySQL-en.

  7. 3

    Az Oracle Database Server ezúttal közepes veszélyességű hibáktól vált meg.

  8. 4

    A Google Chrome több mint egy tucatnyi sebezhetőség miatt kapott javításokat.

  9. 3

    A Moodle újabb biztonsági frissítést kapott.

  10. 3

    Az Apache Solr fejlesztői két biztonsági hibáról számoltak be.

Partnerhírek
​NFC adatokat továbbító Androidos kártevőt fedezett fel az ESET

Az ESET kutatói felfedtek egy vadonatúj számítógépes kártevő programmal végrehajtott, úgynevezett crimeware kampányt, amely három cseh bank ügyfeleit vette célba.

​Hogyan védhetjük ki a gyakori Booking.com átveréseket?

A Booking.com a szálláshelyeket kereső utazók egyik legfontosabb platformja, de mára egyéb szolgáltatások is elérhetővé váltak az oldalon keresztül.

hirdetés
Közösség