Twilio, responsable de l’application d’authentification à deux étapes (2FA) Authy, annonce avoir fait l’objet d’un piratage. Les hackers ont pu collecter les numéros de téléphone de 33 millions d’utilisateurs, comme l’a confirmé le service à TechCrunch.
Un piratage de Twilio qui touche sérieusement les utilisateurs d’Authy
« Twilio a détecté que des acteurs menaçants ont pu identifier des données associées à des comptes Authy, y compris des numéros de téléphone, en raison d’un point de terminaison non authentifié », indique le groupe. « Nous avons pris des mesures pour sécuriser ce point d’accès et ne plus autoriser les requêtes non authentifiées ».
Toujours selon Twilio, les comptes Authy n’ont pas été piratés. Mais les hackers ont tout de même pu récupérer les numéros de téléphone de 33 millions d’utilisateurs. Il faut donc s’attendre à des arnaques par SMS au fil des prochains jours ou semaines.
Les utilisateurs d’Authy doivent mettre à jour l’application mobile sur iOS (version 25.1.0) ou Android (version 26.1.0) pour boucher la faille de sécurité et corriger des bugs au passage.
« Nous savons que la sécurité de nos systèmes est un élément important pour gagner et conserver votre confiance. Nous nous excusons sincèrement que cela se soit produit », poursuit Twilio.
En 2022, Twilio a été victime d’une violation de données importante, lorsqu’un groupe de pirates a accédé aux données de plus de 100 clients de l’entreprise. Les pirates ont ensuite lancé une vaste campagne de phishing qui a abouti au vol d’environ 10 000 informations d’identification d’employés d’au moins 130 entreprises. Dans le cadre de cette attaque, Twilio a déclaré que les hackers avaient réussi à cibler 93 utilisateurs individuels d’Authy et avaient pu enregistrer des appareils supplémentaires sur les comptes Authy de ces victimes, ce qui leur a permis de voler de véritables codes pour l’authentification en deux étapes.
