Twilioが提供するMFA「Authy」へ不正アクセス 3,300万件のデータ漏洩の可能性
2024年6月 「ShinyHunters」という名の脅威アクターが、Twilio(トゥイリオ)が提供するMFA(多要素認証)ツール「Authy」サービスに登録されている3,300万件の電話番号を含むCSVテキストファイルを取得したと公表しました。
Twilio(トゥイリオ)のMFA「Authy」のデータ漏洩について
「ShinyHunters」が窃取したと主張する、CSV ファイルには 33,420,546 行が含まれており、各行にはアカウント ID、電話番号、「over_the_top」列、アカウント ステータス、デバイス数が含まれています。
「Twilioは、認証されていないエンドポイントが原因で、脅威アクターが電話番号を含むAuthyアカウントに関連付けられたデータを特定できたことを検出しました。当社はこのエンドポイントを保護する措置を講じ、認証されていないリクエストを許可しないようにしました」とTwilioはBleepingComputerに語っています。
MFA「Authy」のデータ漏洩の原因
MFA「Authy」のデータ漏洩はAPIが原因となります。
BleepingComputer は、膨大な電話番号リストをセキュリティ保護されていない API エンドポイントに入力することでデータが収集されたことを突き止めました。
電話番号が有効であれば、エンドポイントは 「Authy」に登録されている関連アカウントに関する情報を返します。
なお本インシデントの後、API が保護されたため、電話番号が Authy で使用されているかどうかを確認するために API を悪用することはできなくなりました。
漏えいしたデータはどう悪用される
今回電話番号が漏洩しているので、SIMスワッピングやSMSのフィッシングメール(スミッシング)に悪用される可能性があります。
関連記事