Un pirate a récemment divulgué plus de 33 millions de numéros de téléphone d’utilisateurs du service d’authentification à deux facteurs Authy. Authy, une application de sécurité populaire, gère les codes d’authentification des applications et services en ligne en renforçant la sécurité au travers d’une seconde étape d’authentification.
L’acteur malveillant a publié un fichier texte CSV contenant 33 millions de numéros de téléphone de clients d’Authy. Ce piratage a été rendu possible en exploitant une API mal sécurisée. Le pirate n’a pas voler des données directement, mais a utilisé une comparaison massive de numéros de téléphone enregistrés avec ceux en sa possession, obtenus à partir de diverses listes obtenues sur le dark web.
Twilio, la société mère d’Authy, a confirmé l’authenticité de la fuite et a rapidement colmaté la faille exploitée par le pirate. Une mise à jour pour les versions Android et iOS de l’application a également été publiée par précaution.
Heureusement, il n’y a pas de menace directe immédiate pour les utilisateurs, car un numéro de téléphone seul ne permet pas de causer des dommages significatifs. Cependant, les utilisateurs concernés doivent rester vigilants face aux risques potentiels, notamment :
Les données dans Authy sont actuellement sécurisées. Cependant, ce n’est pas le premier incident de ce type pour Twilio. En 2022, la société avait déjà confirmé avoir subi une violation de données.
Source : Bleeping Computer
Le Patch Tuesday de décembre 2024 semble avoir apporté son lot de complications à certains… Lire d'avantage
Maxsun tente de surprendre dans le petit monde des cartes graphiques. L'iCraft Arc B580 est… Lire d'avantage
Le site officiel de Zotac a confirmé l’existence des GeForce RTX 50 series et leur… Lire d'avantage
La prochaine Radeon RX 8800 XT pourrait bien d’appeler la Radeon RX 9070 XT. C’est… Lire d'avantage
G.Skill tente de se distinguer sur le marché des périphériques en lançant le WigiDash, un… Lire d'avantage
G.Skill a étoffé son catalogue produits avec l’annonce du WigiDash. Il s’agit d’un périphérique USB… Lire d'avantage
Voir commentaires
-_-"
Bon sang les gens, pourquoi vous utilisez des apps comme ça, centralisées sur le cloud (ou «sur l'ordinateur de quelqu'un d'autre») alors que des apps similaires tournant uniquement en local existent... Oui y'a pas la synchronisation entre plusieurs appareils, mais je vous le demande, est-ce que ce petit confort de quelques minutes gagnées vaut les risques de sécurité potentiels ? (d'autant qu'avec un peu de jugeote on peut réussir très probablement à synchro les données avec SyncThing).
C'est comme tout ces gens qui utilisent des gestionnaire de mots de passes dont les BDD sont dans le cloud, vous vous rendez compte que vous courrez après les soucis ou bien ? La centralisation massive de ce genre de données fait de-facto, de ces serveurs et service, une cible de choix pour tout pirate. Des failles va y'en avoir, c'est pas une question de si mais de quand et de comment. Que ce soit des failles zero-day ou des piratages via ingénierie sociale, les risque sont, à mon sens, trop grand pour ces données bien trop précieuses et sensible.
Une petite analogie :
C'est comme si tu donnais les clefs de ta maison à une société regroupant les clefs de ses clients pour protéger leurs bien, dont tu ne sais rien de leurs protocoles de sécurité, ne serait-ce pas une cible de choix pour des voleurs ?