Twilioが提供するMFA「Authy」へ不正アクセス 3,300万件のデータ漏洩の可能性

Twilioが提供するMFA「Authy」へ不正アクセス 3,300万件のデータ漏洩の可能性

2024年6月 「ShinyHunters」という名の脅威アクターが、Twilio(トゥイリオ)が提供するMFA(多要素認証)ツール「Authy」サービスに登録されている3,300万件の電話番号を含むCSVテキストファイルを取得したと公表しました。

Twilio(トゥイリオ)のMFA「Authy」のデータ漏洩について

「ShinyHunters」が窃取したと主張する、CSV ファイルには 33,420,546 行が含まれており、各行にはアカウント ID、電話番号、「over_the_top」列、アカウント ステータス、デバイス数が含まれています。

「Twilioは、認証されていないエンドポイントが原因で、脅威アクターが電話番号を含むAuthyアカウントに関連付けられたデータを特定できたことを検出しました。当社はこのエンドポイントを保護する措置を講じ、認証されていないリクエストを許可しないようにしました」とTwilioはBleepingComputerに語っています。

MFA「Authy」のデータ漏洩の原因

MFA「Authy」のデータ漏洩はAPIが原因となります。

BleepingComputer は、膨大な電話番号リストをセキュリティ保護されていない API エンドポイントに入力することでデータが収集されたことを突き止めました。

電話番号が有効であれば、エンドポイントは 「Authy」に登録されている関連アカウントに関する情報を返します。

なお本インシデントの後、API が保護されたため、電話番号が Authy で使用されているかどうかを確認するために API を悪用することはできなくなりました。

漏えいしたデータはどう悪用される

今回電話番号が漏洩しているので、SIMスワッピングやSMSのフィッシングメール(スミッシング)に悪用される可能性があります。

関連記事

多要素認証で約99%のセキュリティリスクを削減できる Microsoftが発表

TOPへ