Authy 遭遇黑客攻击，慢雾安全专家提醒防范网络钓鱼

根据网路安全公司慢雾（SlowMist）的资安长 23pds 在 X 平台上警告称，双因素验证（2FA）服务 Authy 遭到骇客攻击，3,300 万名用户的电话号码已泄漏。官方开发商 Twilio 已确认相关漏洞。

23pds 表示，有很多加密货币从业人员使用 Authy，他提醒这款 2FA 软体的用户警惕网路钓鱼攻击。

根据外媒《TechCrunch》报导，知名骇客集团 ShinyHunters 上周在知名骇客论坛上宣称他们骇入 Twilio 并窃取了 3,300 万个电话号码。Twilio 发言人 Kari Ramirez 周二（2日）向 TechCrunch 证实，该公司「已检测到威胁行为者能够识别 Authy 帐户相关的数据，包括电话号码，这是由于一个未经身分验证的端点」。Twilio 称已采取行动确保该端点的安全，不再允许未经身份验证的请求。

Ramirez 表示：

「我们没有看到任何证据表明威胁行为者已获得对 Twilio 系统或其他敏感数据的存取权。作为预防措施，我们要求所有 Authy 用户更新到最新版的 Android 和 iOS 应用程式，以获得最新的安全更新，并鼓励所有 Authy 用户保持警惕，提高对网路钓鱼和「简讯网路钓鱼」（smishing）攻击的防范意识。」

社会工程学专家、SocialProof Security 的执行长 Rachel Tobac 受访表示，如果攻击者能够列举出用户的电话号码清单，那么这些攻击者就可以对那些用户冒充成 Authy/Twilio，从而增加针对这些电话号码的网路钓鱼攻击的可信度。

相关文章：
《旅客成为攻击目标，以 AI 制作的网路钓鱼信和「充电陷阱」正在兴起》
《慢雾分析：私钥泄漏为第二季最常见的加密货币被盗原因》