Twilio、「Authy」の多数の顧客電話番号流出を認めアプリ更新を呼び掛け
ITmedia NEWS / 2024年7月4日 11時21分
![Twilio、「Authy」の多数の顧客電話番号流出を認めアプリ更新を呼び掛け](https://media.image.infoseek.co.jp/isnews/photos/itmedia_news/itmedia_news_20240704103_0-small.jpg)
クラウド電話APIを手掛ける米Twilioは7月1日(現地時間)、セキュリティ保護されていないAPIのエンドポイントにより、“脅威アクター”(攻撃者)が同社の多要素認証ツール「Authy」のユーザーの多数の電話番号を入手したことを確認したと発表した。「このエンドポイントを保護する措置を講じ、認証されていないリクエストを許可しないようにした」という。
Twilioはユーザーに対し、Authyのアプリをすぐに最新版(Androidはv25.1.0、iOSはv26.1.0)にアップデートするよう呼び掛けている。
この件については6月27日、ShinyHuntersとして知られる攻撃者がダークウェブ上で、Twilioをハッキングして入手したという約3300万人のユーザーの電話番号を含むCSVファイルを公開した。米BleepingComputerは、このファイルにAuthyのアカウントIDや電話番号が含まれていることを確認した。
BleepingComputerによると、攻撃者は膨大な電話番号リストをセキュリティで保護されていないAPIエンドポイントに入力することでデータを収集したという。有効な電話番号についてはエンドポイントがAuthyに登録されている関連アカウント情報を返してしまう。
TwilioがAPIを保護したため、この悪用はできなくなった。
Twilioは「Authyアカウントが侵害されることはありませんが、脅威アクターがAuthyアカウントに関連付けられた電話番号をフィッシングやスミッシング攻撃に利用しようとする可能性があります」と警告し、「すべてのAuthyユーザーに、受信するテキストメッセージについて注意を怠らず、高い意識を持っていただくようお願いします」と呼び掛けている。
同社は2022年にもフィッシング攻撃を受け、顧客データが漏えいしてる。
外部リンク
この記事に関連するニュース
-
チェック・ポイント、ASCIIコードをベースとする新たなQRコードフィッシングの手法を発見
PR TIMES / 2024年6月25日 14時15分
-
サイバー攻撃者がT-Mobileを侵害したと主張、T-Mobileは否定
マイナビニュース / 2024年6月21日 9時21分
-
中国の攻撃者がF5 BIG-IPアプライアンスを踏み台にスパイ活動
マイナビニュース / 2024年6月20日 7時27分
-
Microsoftの個人用メールアカウント、セキュリティ強化でモダン認証必須に
マイナビニュース / 2024年6月12日 10時53分
-
ウィズセキュア、クラウドプラットフォーム向けのアイデンティティ保護ソリューションの提供を開始
PR TIMES / 2024年6月7日 11時15分
ランキング
-
1迷惑メール転送すると送信元が行政処分される? Xでアドレス拡散、宛先の「迷惑メール相談センター」が明かす実情
J-CASTニュース / 2024年7月2日 11時0分
-
2ヤマト運輸のLINEに「ありがとニャン」と返信したら…… “意外な機能”に「知らなかった」と驚き
ねとらぼ / 2024年7月4日 8時0分
-
3こ、これは……! Netflixで見られる“まさかの映画”に思わず二度見 「まさかネトフリでやってくれるとは!!」
ねとらぼ / 2024年7月4日 7時0分
-
4老後の趣味で気軽に“塗り絵”を始めて1年後…… めきめき上達した70代女性の美麗な水彩画に「本当にすごい…」「感動です」
ねとらぼ / 2024年6月29日 22時0分
-
5新紙幣「一万円札と千円札の1の字が違う」SNSに違和感覚えるという声も…… 「1」のデザインが違う理由は?
ねとらぼ / 2024年7月3日 18時15分
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/mission_close_icon.png)
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/point-loading.png)
エラーが発生しました
ページを再読み込みして
ください
![](/pc/img/mission/mission_close_icon.png)