Sigurnost je ključna za sve nas, posebno kada se naši životi sve više vezuju za različite naloge i usluge. Korisnici često biraju opcije prijave koje podržavaju dvostepenu autentifikaciju (2FA) kako bi dodatno otežali hakerima pristup njihovim podacima samo uz ukradenu lozinku.
Međutim, to znači da su 2FA rešenja takođe primarne mete napada, što je nedavno bio slučaj sa kompanijom Twilio, kada je ranjivost API-ja otkrila podatke korisnika aplikacije Authy.
Authy je jedna od popularnijih aplikacija za 2FA, u konkurenciji sa Google Authenticator-om. Prema izveštaju BleepingComputer-a, pre otprilike nedelju dana hakeri su podelili bazu podataka koja sadrži oko 33 miliona unosa, povezujući ID-ove naloga sa brojevima telefona korisnika.
Twilio je potvrdio da su hakeri pristupili ovim podacima preko ranije neosiguranog API-ja, što im je omogućilo da prođu kroz listu svih mogućih telefonskih brojeva i, ako je neki od njih povezan sa registrovanim korisnikom Authy-a, API bi odgovorio sa povezanim informacijama o nalogu.
Foto: Unsplash.com
Važno je napomenuti da nijedan od ovih eksfiltriranih podataka ne uključuje lozinke ili bilo šta što bi direktno omogućilo pristup Authy nalogu. Međutim, broj telefona je i dalje lični podatak koji može biti kombinovan sa drugim bazama podataka, stvarajući sve korisniji (ili, za korisnike, preteći) profil za one koji žele da ugroze vašu sigurnost. Kako BleepingComputer napominje, reference na baze podataka "gemini" i "nexo" predstavljaju eksplicitna uputstva za ovu vrstu unakrsne provere.
Twilio je zatvorio izloženi API koji je omogućio ovaj propust i savetuje korisnicima da ažuriraju Authy na svojim telefonima, iako to više deluje kao preporuka za najbolju praksu nego specifično rešenje za ovaj napad.
Autor: Marija Radić
