Un pirate a récemment divulgué plus de 33 millions de numéros de téléphone d’utilisateurs du service d’authentification à deux facteurs Authy. Authy, une application de sécurité populaire, gère les codes d’authentification des applications et services en ligne en renforçant la sécurité au travers d’une seconde étape d’authentification.
L’acteur malveillant a publié un fichier texte CSV contenant 33 millions de numéros de téléphone de clients d’Authy. Ce piratage a été rendu possible en exploitant une API mal sécurisée. Le pirate n’a pas voler des données directement, mais a utilisé une comparaison massive de numéros de téléphone enregistrés avec ceux en sa possession, obtenus à partir de diverses listes obtenues sur le dark web.
Twilio, la société mère d’Authy, a confirmé l’authenticité de la fuite et a rapidement colmaté la faille exploitée par le pirate. Une mise à jour pour les versions Android et iOS de l’application a également été publiée par précaution.
Heureusement, il n’y a pas de menace directe immédiate pour les utilisateurs, car un numéro de téléphone seul ne permet pas de causer des dommages significatifs. Cependant, les utilisateurs concernés doivent rester vigilants face aux risques potentiels, notamment :
Les données dans Authy sont actuellement sécurisées. Cependant, ce n’est pas le premier incident de ce type pour Twilio. En 2022, la société avait déjà confirmé avoir subi une violation de données.
Source : Bleeping Computer
Le navigateur Internet Edge de Microsoft va-t-il devenir indispensable pour les joueurs sous Windows 11… Lire d'avantage
Si vous recherchez une carte mère Intel ou AMD, de bonnes affaires sont en cours… Lire d'avantage
À l'occasion du Black Friday, Gigabyte propose une page spéciale sur son site Internet, mettant… Lire d'avantage
Les joueurs espérant des cartes graphiques à prix réduit pendant les fêtes pourraient être déçus.… Lire d'avantage
Microsoft a publié KB5046714 pour les PC Windows 10 22H2. Il s’agit d’une mise à… Lire d'avantage
Positionné à 149,90 € et équipé de deux ventilateurs NF-A14x25r G2 à cadre rond le… Lire d'avantage
Voir commentaires
-_-"
Bon sang les gens, pourquoi vous utilisez des apps comme ça, centralisées sur le cloud (ou «sur l'ordinateur de quelqu'un d'autre») alors que des apps similaires tournant uniquement en local existent... Oui y'a pas la synchronisation entre plusieurs appareils, mais je vous le demande, est-ce que ce petit confort de quelques minutes gagnées vaut les risques de sécurité potentiels ? (d'autant qu'avec un peu de jugeote on peut réussir très probablement à synchro les données avec SyncThing).
C'est comme tout ces gens qui utilisent des gestionnaire de mots de passes dont les BDD sont dans le cloud, vous vous rendez compte que vous courrez après les soucis ou bien ? La centralisation massive de ce genre de données fait de-facto, de ces serveurs et service, une cible de choix pour tout pirate. Des failles va y'en avoir, c'est pas une question de si mais de quand et de comment. Que ce soit des failles zero-day ou des piratages via ingénierie sociale, les risque sont, à mon sens, trop grand pour ces données bien trop précieuses et sensible.
Une petite analogie :
C'est comme si tu donnais les clefs de ta maison à une société regroupant les clefs de ses clients pour protéger leurs bien, dont tu ne sais rien de leurs protocoles de sécurité, ne serait-ce pas une cible de choix pour des voleurs ?