安卓和iosTwilio Authy的用户现在正在警告由黑客成功违反系统的公司,窃取了数百万个电话号码。
Authy是据说iOS和Android的软件使消费者易于登录应用程序时请求两因素身份验证(2FA)。
根据最近的报道,Twilio发现恶意行为者设法找到了与身份帐户相关的数据,尤其是电话号码,这要归功于未经认可的API。
Twilio要求所有Authy用户更新到该应用程序的最新iOS或Android变体,以接收最新的安全修复程序。 Twilio告诉用户,虽然尚未被砍伐的身份帐户,但威胁行为者可能会试图利用与身份钓鱼和打击攻击中的身份帐户相关的电话号码。
Twilio将成功的攻击归咎于使用“未经验证的终点”,并指出它已采取措施来维护此端点,并且不再接受未经验证的查询。
根据媒体报道,已经采用了3300万个电话号码。在一个受欢迎的黑客网站上,被称为Shinyhunters的黑客声称正在攻击Twilio并窃取了3300万手机号码。
虽然电话号码的盗窃不应警告认证客户,但攻击者可以使用这些数字联系或发短信给受苦的身份订阅者。
然后,攻击者可能似乎来自Authy,并请求更多的用户信息,例如社会保险号,银行帐号和其他敏感的个人信息。
Shinyhunters的功能
Shinyhunters的指控是在其不断渗透多个系统之后,最近一次Ticketmaster Hack5月下旬。这次袭击影响了5.6亿成员的个人数据,目前在黑客论坛上以500,000美元的价格出售。
据称,ShinyHunters获得了访问敏感用户数据的访问,例如全名,电子邮件地址,电话号码,位置,购买详细信息和部分信用卡详细信息。
披露的付款数据包括信用卡数字的最后四个字符,到期日期,消费者名称,甚至有关客户欺诈的详细信息。
根据著名的黑客团队Shinyhunters的说法,Ticketmaster Live Nation的安全性遭到破坏,揭示了一个惊人的5.6亿订户的个人信息。违反论坛现在正在提供这种大量的1.3 trabyte数据,一次性价格为500,000美元。
合法的网站黑客
网络漏洞继续引起新闻,甚至由于代码损坏而受到攻击的知名网站。合法的网站是最近渗透随着新所有者更新以前有益的polyfill [。] COM托管的JavaScript代码,导致网站不知不觉地将用户链接到Rogue网站。
据报道,几年来通过Polyfill [。] COM访问的JavaScript代码是一项著名的开源工作,允许较旧的浏览器执行默认情况下不支持的复杂功能。
网站可以通过插入指向CDN.polyfill [。] IO的链接来保证在运行较旧浏览器的设备上显示以较新格式的信息。由于所有网站都必须嵌入链接,因此他们赞赏免费服务。 Polyfill网站的编程照顾了其余的。
