Authy
Un pirate a récemment divulgué plus de 33 millions de numéros de téléphone d’utilisateurs du service d’authentification à deux facteurs Authy. Authy, une application de sécurité populaire, gère les codes d’authentification des applications et services en ligne en renforçant la sécurité au travers d’une seconde étape d’authentification.
L’acteur malveillant a publié un fichier texte CSV contenant 33 millions de numéros de téléphone de clients d’Authy. Ce piratage a été rendu possible en exploitant une API mal sécurisée. Le pirate n’a pas voler des données directement, mais a utilisé une comparaison massive de numéros de téléphone enregistrés avec ceux en sa possession, obtenus à partir de diverses listes obtenues sur le dark web.
Twilio, la société mère d’Authy, a confirmé l’authenticité de la fuite et a rapidement colmaté la faille exploitée par le pirate. Une mise à jour pour les versions Android et iOS de l’application a également été publiée par précaution.
Heureusement, il n’y a pas de menace directe immédiate pour les utilisateurs, car un numéro de téléphone seul ne permet pas de causer des dommages significatifs. Cependant, les utilisateurs concernés doivent rester vigilants face aux risques potentiels, notamment :
Les données dans Authy sont actuellement sécurisées. Cependant, ce n’est pas le premier incident de ce type pour Twilio. En 2022, la société avait déjà confirmé avoir subi une violation de données.
Source : Bleeping Computer
Microsoft a récemment confirmé cinq restrictions autour des Copilot+ PCs équipés d’un processeur Arm Snapdragon… Lire d'avantage
Les rumeurs selon lesquelles les Ryzen 9000X3D bénéficieront d'une capacité de 3D V-Cache augmentée ne… Lire d'avantage
Les premières données de performance du nouveau processeur Ryzen 9 9900X basé sur l'architecture "Zen… Lire d'avantage
Le menu contextuel de Windows 11 ne fait pas l’unanimité. Au travers des PowerToys, New+… Lire d'avantage
Intel a choisi d'utiliser du 4 nm EUV de TSMC pour ses prochains GPU Arc… Lire d'avantage
Les processeurs Ryzen AI 300 Series d'AMD viennent de faire leur entrée dans la base… Lire d'avantage
Voir commentaires
-_-"
Bon sang les gens, pourquoi vous utilisez des apps comme ça, centralisées sur le cloud (ou «sur l'ordinateur de quelqu'un d'autre») alors que des apps similaires tournant uniquement en local existent... Oui y'a pas la synchronisation entre plusieurs appareils, mais je vous le demande, est-ce que ce petit confort de quelques minutes gagnées vaut les risques de sécurité potentiels ? (d'autant qu'avec un peu de jugeote on peut réussir très probablement à synchro les données avec SyncThing).
C'est comme tout ces gens qui utilisent des gestionnaire de mots de passes dont les BDD sont dans le cloud, vous vous rendez compte que vous courrez après les soucis ou bien ? La centralisation massive de ce genre de données fait de-facto, de ces serveurs et service, une cible de choix pour tout pirate. Des failles va y'en avoir, c'est pas une question de si mais de quand et de comment. Que ce soit des failles zero-day ou des piratages via ingénierie sociale, les risque sont, à mon sens, trop grand pour ces données bien trop précieuses et sensible.
Une petite analogie :
C'est comme si tu donnais les clefs de ta maison à une société regroupant les clefs de ses clients pour protéger leurs bien, dont tu ne sais rien de leurs protocoles de sécurité, ne serait-ce pas une cible de choix pour des voleurs ?