Un pirate a récemment divulgué plus de 33 millions de numéros de téléphone d’utilisateurs du service d’authentification à deux facteurs Authy. Authy, une application de sécurité populaire, gère les codes d’authentification des applications et services en ligne en renforçant la sécurité au travers d’une seconde étape d’authentification.
Authy, les détails du piratage
L’acteur malveillant a publié un fichier texte CSV contenant 33 millions de numéros de téléphone de clients d’Authy. Ce piratage a été rendu possible en exploitant une API mal sécurisée. Le pirate n’a pas voler des données directement, mais a utilisé une comparaison massive de numéros de téléphone enregistrés avec ceux en sa possession, obtenus à partir de diverses listes obtenues sur le dark web.
Twilio, la société mère d’Authy, a confirmé l’authenticité de la fuite et a rapidement colmaté la faille exploitée par le pirate. Une mise à jour pour les versions Android et iOS de l’application a également été publiée par précaution.
Impact et mesures de sécurité
Heureusement, il n’y a pas de menace directe immédiate pour les utilisateurs, car un numéro de téléphone seul ne permet pas de causer des dommages significatifs. Cependant, les utilisateurs concernés doivent rester vigilants face aux risques potentiels, notamment :
- Attaques par SMS : Les utilisateurs peuvent recevoir des messages incitant à partager des codes d’authentification ou à télécharger des logiciels malveillants.
- Échanges de cartes SIM : Ces attaques nécessitent des informations personnelles supplémentaires et impliquent le fournisseur de services cellulaires de la victime.
- Recherches en ligne : Les attaquants pourraient utiliser d’autres bases de données pour relier les numéros de téléphone à leurs propriétaires.
Les données dans Authy sont actuellement sécurisées. Cependant, ce n’est pas le premier incident de ce type pour Twilio. En 2022, la société avait déjà confirmé avoir subi une violation de données.
Source : Bleeping Computer
-_-”
Bon sang les gens, pourquoi vous utilisez des apps comme ça, centralisées sur le cloud (ou «sur l’ordinateur de quelqu’un d’autre») alors que des apps similaires tournant uniquement en local existent… Oui y’a pas la synchronisation entre plusieurs appareils, mais je vous le demande, est-ce que ce petit confort de quelques minutes gagnées vaut les risques de sécurité potentiels ? (d’autant qu’avec un peu de jugeote on peut réussir très probablement à synchro les données avec SyncThing).
C’est comme tout ces gens qui utilisent des gestionnaire de mots de passes dont les BDD sont dans le cloud, vous vous rendez compte que vous courrez après les soucis ou bien ? La centralisation massive de ce genre de données fait de-facto, de ces serveurs et service, une cible de choix pour tout pirate. Des failles va y’en avoir, c’est pas une question de si mais de quand et de comment. Que ce soit des failles zero-day ou des piratages via ingénierie sociale, les risque sont, à mon sens, trop grand pour ces données bien trop précieuses et sensible.
Une petite analogie :
C’est comme si tu donnais les clefs de ta maison à une société regroupant les clefs de ses clients pour protéger leurs bien, dont tu ne sais rien de leurs protocoles de sécurité, ne serait-ce pas une cible de choix pour des voleurs ?