La semaine dernière, un pirate informatique a affirmé avoir volé 33 millions de numéros de téléphone au géant américain de la messagerie Twilio. Mardi, Twilio a confirmé à TechCrunch que les « acteurs de la menace » étaient capables d'identifier le numéro de téléphone des personnes qui utilisent Authy, une application d'authentification à deux facteurs populaire appartenant à Twilio.
Dans un article publié sur un forum de piratage bien connu, le ou les hackers connus sous le nom de ShinyHunters ont écrit qu'ils avaient piraté Twilio et obtenu les numéros de téléphone portable de 33 millions d'utilisateurs.
Le porte-parole de Twilio, Kari Ramirez, a déclaré à TechCrunch que la société « a détecté que les acteurs malveillants étaient en mesure d'identifier les données associées aux comptes Authy, y compris les numéros de téléphone, grâce à un point de terminaison non authentifié. Nous avons pris des mesures pour sécuriser ce point de terminaison et n'autoriser plus les demandes non authentifiées.
« Nous n'avons vu aucune preuve que les acteurs malveillants ont obtenu l'accès aux systèmes de Twilio ou à d'autres données sensibles. Par mesure de précaution, nous demandons à tous les utilisateurs d'Authy de mettre à jour les dernières applications Android et iOS pour obtenir les dernières mises à jour de sécurité et encourageons tous les utilisateurs d'Authy à rester diligents et à être plus conscients des attaques de phishing et de smishing », a écrit Ramirez dans un e-mail.
Twilio a également une alerte sur son site officiel, comprenant la même déclaration. publié lundi
Même si l’obtention d’une liste de numéros de téléphone – en soi – ne semble pas être la violation de données la plus dangereuse, elle pourrait néanmoins constituer une menace pour les propriétaires de ces numéros.
« Si les attaquants sont capables d'énumérer une liste de numéros de téléphone d'utilisateurs, ils peuvent alors se faire passer pour Authy/Twilio auprès de ces utilisateurs, augmentant ainsi la crédibilité d'une attaque de phishing contre ce numéro de téléphone », Rachel Tobac, experte en ingénierie sociale et PDG de SocialProof Security, a déclaré à TechCrunch.
Tobac a expliqué que désormais les pirates peuvent cibler spécifiquement les personnes dont ils savent qu'ils sont des utilisateurs d'Authy, donnant ainsi aux attaquants la possibilité de donner l'impression que leurs messages malveillants proviennent réellement d'Authy et de Twilio.
En 2022, Twilio a subi une violation de données plus importante, lorsqu'un groupe de pirates informatiques a accédé aux données de plus de 100 clients de l'entreprise . Les pirates ont ensuite lancé une vaste campagne de phishing qui a abouti au vol d'environ 10 000 identifiants d'employés d' au moins 130 entreprises . Dans le cadre de cette violation à l'époque, Twilio a déclaré que les pirates informatiques avaient réussi à cibler 93 utilisateurs Authy individuels et à avoir pu enregistrer des appareils supplémentaires sur les comptes Authy de ces victimes, leur permettant ainsi de voler efficacement de véritables codes à deux facteurs.