Veszélybe kerültek az Authy felhasználók telefonszámai
A Twilio rendszere egy olyan biztonsági hibát tartalmazott, amelyen keresztül milliószámra váltak ellenőrizhetővé telefonszámok.
Június végén az egyik alvilági fórumon felbukkant egy olyan CSV-fájl, amelyben több mint 33 millió telefonszám volt megtalálható. Az állomány publikálója azt állította, hogy a fájlban Twilio rendszerében szereplő (Authy) felhasználói telefonszámok szerepelnek. Az állomány felbukkanását követően a Twilio vizsgálatot indított, és végül kiderült, hogy a rendszerén egy súlyos biztonsági rés tátongott.
A kétfaktoros hitelesítést támogató Authy alkalmazások és szolgáltatások világszerte széles körben használatosak (bár a számítógépekre fejlesztett kliensek fejlesztésével éppen nemrégen hagyott fel a cég, nem kis zúgolódást keltve ezzel a felhasználók között). Mivel biztonsági szolgáltatásokat nyújt a cég, ezért fokozott elvárások vannak a rendszereinek védelmével szemben. Ezen elvárásoknak nem igazán tudott most megfelelni, hiszen kiderült, hogy a 33 milliós lista létrejöttéhez egy súlyos sérülékenység járult hozzá.
A vizsgálatok feltárták, hogy a biztonsági hibát a Twilio egyik API-ja tartalmazta, mivel az nem volt megfelelően védve a jogosulatlan használat ellen. Ennél fogva korlátlan számban lehetett felhasználni telefonszámok ellenőrzésére. Vagyis bárki megtudhatta egy (vagy akár több millió) telefonszámról, hogy az létezik-e a Twilio Authy adatbázisában valamely felhasználói profilhoz kapcsolódóan. Emellett néhány kiegészítő adat birtokába is juthatott az, aki használta az API-t. Így például egy Twilionál létező telefonszámmal kapcsolatba kideríthette, hogy az aktív felhasználói fiókhoz tartozik-e, és hogy a fiókhoz hány eszköz van társítva. Pontosan ezek az adatok szerepeltek a múlt havi, 33 milliós fájlban is.
Prémium előfizetéssel!
-
Az ImageMagick újabb biztonsági hibajavításokat kapott.
-
A Google ezúttal csak egy biztonsági hiba miatt frissítette a Chrome-ot.
-
A Firebird egy közepes veszélyességű hiba miatt kapott frissítést.
-
A Citrix egy kritikus, nulladik napi sebezhetőséget is megszüntetett a NetScaler ADC/Gateway kapcsán.
-
A FreePBX kapcsán egy veszélyes, nulladik napi biztonsági hibára derült fény.
-
Az Apache Tomcat kapcsán egy biztonsági résre derült fény.
-
Az IBM több mint 50 biztonsági hibajavítást adott ki a QRadar SIEM-hez.
-
Az Intel a PROSet/Wireless WiFi szoftvere kapcsán egy biztonsági hibáról számolt be.
-
Az ImageMagick frissítésével négy sebezhetőség szüntethető meg.
-
A Docker Desktop kapcsán egy biztonsági hiba javítása vált szükségessé.
Az ESET közzétette legfrissebb kiberfenyegetettségi jelentését, amely a 2024. december és 2025. május közötti időszakban tapasztalt kiberkockázatokat mutatja be
A nyári szünet idején a gyerekek több időt töltenek otthon, sokszor felügyelet nélkül – ez pedig nemcsak a fizikai, hanem az online biztonság szempontjából is kihívásokat jelent.
OLDALUNK
RSSImpresszum
Hirdetési információk
Adatvédelem
Felhasználási feltételek
Hozzászólási szabályzat