Twilio Authy curenje podataka
Zajednica sajber bezbjednosti je u šoku, jer je ozloglašena hakerska grupa ShinyHunters tvrdila da je ukrala 33 miliona telefonskih brojeva iz Twilio Authy servisa. Sada je kompanija Twilio potvrdila da je neobezbijeđena API krajnja tačka zaista omogućila zlonamjernim akterima da verifikuju navedene telefonske brojeve, potencijalno izlažući milione korisnika riziku od SMS phishing napada i napada zamjene SIM kartice.
TWILIO AUTHY
Twilio je američka firma koja obezbjeđuje programabilne komunikacione alate za upućivanje i primanje telefonskih poziva, slanje i primanje tekstualnih poruka i obavljanje drugih komunikacionih funkcija koristeći API svojih internet usluga. Sa preko 5.000 zaposlenih širom sveta i prihodima od 2,84 milijarde američkih dolara u 2021. godini, Twilio je značajan igrač u tehnološkoj industriji.
Authy, u vlasništvu kompanije Twilio od njegove akvizicije 2015. godine, je mobilna aplikacija koja generiše kôdove za autentifikaciju u više koraka (eng. multi-factor authentication – MFA) za internet lokacije na kojima je MFA omogućen. Korištenjem aplikacije Authy, korisnici mogu bezbjedno da čuvaju i upravljaju svojim tokenima za autentifikaciju u dva koraka na više uređaja i naloga. Ovaj dodatni sloj bezbjednosti pomaže u zaštiti korisničkih podataka od neovlaštenog pristupa, čineći ga suštinskim alatom za profesionalce u sajber bezbjednosti i pojedince.
Authy curenje podataka
Krajem juna, ShinyHunters grupa je objavila CSV tekstualnu datoteku koji sadrži ono za šta su tvrdili da je 33 miliona telefonskih brojeva registrovanih u Authy servisu na hakerskom forumu. Curenje podataka izazvalo je zabrinutost među korisnicima i profesionalcima za sajber bezbjednost zbog potencijalnih implikacija. CSV datoteka je sadržala 33.420.546 redova informacija, od kojih svaki red sadrži detalje kao što su ID naloga, brojevi telefona, kolona “over_the_top” (vjerovatno ukazuje na dodatne metode autentifikacije), statusi naloga i broj uređaja.
Ovo curenje podataka moglo bi da ima teške posljedice po korisnike čiji su brojevi telefona uključeni u ovu listu. Zlonamjerni akteri mogu da koriste ove brojeve za izvođenje SMS phishing napada, gdje prevare žrtve da otkriju osjetljive informacije tako što im šalju zlonamjerne tekstualne poruke. Pored toga, napadači mogu da pokušaju napade zamjene SIM kartice, koji podrazumijevaju preuzimanje kontrole nad brojem mobilnog telefona žrtve i dobijanje pristupa njihovim nalozima preko povezanog broja telefona.
Kompanija Twilio je sada potvrdila da su zlonamjerni akteri zaista koristili neobezbijeđenu API krajnju tačku da sastave ovu listu telefonskih brojeva. Kompanija je navela da nema dokaza da su napadači pristupili njenim sistemima ili drugim osjetljivim podacima; međutim, potencijalna šteta prouzrokovana otkrivanjem ovih brojeva telefona ne može se potcijeniti. Kompanija je obezbijedila ranjivu krajnju tačku i pozvala korisnike da preduzmu mjere predostrožnosti protiv SMS phishing napada i napada zamjene SIM kartice.
“Twilio je otkrio da su zlonamjerni akteri uspeli da identifikuju podatke povezane sa Authy nalozima, uključujući brojeve telefona, zbog krajnje tačke bez autentifikacije. Preduzeli smo mjere da obezbijedimo ovu krajnju tačku i više ne dozvoljavamo neautorizovane zahteve.”
– Twilio –
Ovo nije prvi napad na kompaniju Twilio. Prethodni napad se dogodio u avgustu 2022. godine kada su zlonamjerni akteri dobili pristup Twilio internim sistemima tako što su ukrali akreditive zaposlenih putem sofisticiranog SMS phishing napada. Kompanija nije objavila tačan broj pogođenih zaposlenih i kupaca.
SMS PHISHING I SIM SWAPPING
SMS Phishing (takođe poznat kao Smishing) je oblik napada društvenog inženjeringa gdje napadač šalje zlonamjerne tekstualne poruke koje sadrže veze ili uputstva dizajnirane da prevare primaoca da otkrije osjetljive informacije kao što su lozinke ili kôdovi za autentifikaciju u dva koraka, koji se zatim mogu koristiti za neovlašteni pristup njihovim nalozima. U ovom slučaju, pristup milionima brojeva telefona Authy korisnika značajno bi povećao šanse za uspješne pokušaje krađe identiteta.
Zamjena SIM kartice (napad takođe poznat kao SIM Swapping) je još jedna potencijalna prijetnja u kojoj napadač prevari mobilnog operatera da prenese SIM karticu korisnika na novi uređaj pod kontrolom napadača. Kada napadač ima pristup SIM kartici žrtve, može da presreće i manipuliše njihovim tekstualnim porukama (uključujući MFA kôdove) ili čak da upućuje pozive u ime žrtve, što može dovesti do finansijskih gubitaka ili krađe identiteta.
API BEZBJEDNOST
Aplikacijski programski interfejsi – API (eng. Application Programming Interfaces) su bitne komponente savremenih softverskih aplikacija, omogućavajući besprijekornu komunikaciju između različitih sistema i usluga. Međutim, oni takođe mogu biti ranjivi na eksploataciju ako nisu pravilno obezbijeđeni. U slučaju Authy krajnje tačke bez autentifikacije, napadači su bili u mogućnosti da pristupe značajnoj količini osjetljivih korisničkih podataka bez odgovarajućeg ovlaštenja. API obezbjeđivanje je ključno u današnjem digitalnom okruženju, gdje sajber prijetnje stalno evoluiraju i postaju sve sofisticiranije.
Programeri moraju da prate najbolje prakse za obezbjeđivanje svojih API interfejsa radi zaštite od neovlaštenog pristupa, ugrožavanja podataka i drugih potencijalnih ranjivosti. Neke od ovih najboljih praksi uključuju primjenu mehanizama autentifikacije i autorizacije, zahteve za ograničavanje brzine, korištenje šifrovanja i praćenje API upotrebe za sumnjive aktivnosti.
SHINYHUNTERS
ShinyHunters, takođe poznat kao “Shiny Hunting Team”, je grupa za kibernetički kriminal koja je stekla značajnu zloglasnost zbog ugrožavanja podataka velikih razmjera usmjerenih na različite organizacije u različitim industrijama. Grupa je prvi put privukla pažnju javnosti u julu 2020. godine kada su preuzeli odgovornost za hakovanje Wattpad baze podataka koja je sadržala preko 270 miliona korisničkih zapisa. Od tada, ShinyHunters je bio povezan sa nekoliko drugih ugrožavanja podataka visokog profila.
Metode koje koristi ShinyHunters su sofisticirane i višestruke. Oni se prvenstveno oslanjaju na spear phishing poruke elektronske pošte koje sadrže veze ka zlonamjernim internet lokacijama koje su dizajnirane da ukradu akreditive za prijavu korištenjem zlonamjernog softvera za praćenje korisničkog unosa (eng. keyloggers) ili drugih oblika prikupljanja akreditiva. Ove elektronske poruke često oponašaju portale za prijavu poslodavaca njihovih meta, što olakšava zaposlenima da postanu žrtve ovih napada.
Jednom kada ShinyHunters dobiju skup validnih akreditiva za prijavu, koriste ih da dobiju neovlašteni pristup sistemima i mrežama kompanije. Njihov primarni cilj je da ukradu što je moguće više osjetljivih podataka, uključujući lične podatke, finansijske detalje, intelektualnu svojinu i poslovne tajne. U nekim slučajevima, poznato je da grupa prodaje ove ukradene podatke na raznim tamnim internet tržištima ili forumima kao što su RaidForums, EmpireMarket i Exploit.
Sada ova grupa izvršila krađu oko 33 miliona telefonskih brojeva od kompanije Twilio, vodeće kompanije za komunikacione usluge, odnosno iz Authy aplikacije za autentifikaciju u dva koraka u vlasništvu kompanije Twilio.
ZAKLJUČAK
Authy curenje podataka je razotkrilo 33 miliona telefonskih brojeva povezanih sa njegovim korisnicima preko neautorizovane API krajnje tačke kompanije Twilio. Informacije koje su procurile bi potencijalno mogle da se koriste za SMS phishing i napade zamjene SIM kartice usmjerene na ove korisnike. Iako trenutno nema dokaza o kompromitovanju akreditiva korisničkog naloga ili drugih osjetljivih podataka, ključno je da Authy korisnici preduzmu neophodne mjere predostrožnosti kako bi zaštitili svoje naloge od potencijalnih prijetnji.
Incident naglašava značaj API obezbjeđivanja i održavanja jakih mjera sajber bezbjednosti u današnjem digitalnom svetu. Stručnjaci za sajber bezbjednost moraju da budu informisani o novim prijetnjama i da obezbijede da sistemi budu otporni na slične napade u budućnosti, naglašavajući važnost redovnih ažuriranja, robusnih metoda autentifikacije i autentifikacije u više koraka gdje god je to moguće kako bi se podaci korisnika zaštitili od neovlaštenog pristupa ili manipulacije.
ZAŠTITA
Da bi korisnici efikasno zaštitili svoj Authy nalog u pogledu Twilio Authy curenja podataka u kojem su brojevi telefona bili izloženi, trebaju razmisliti o preduzimanju sljedećih koraka:
- Uvjeriti se da je najnovija verzija aplikacije Authy instalirana na Android ili iOS uređajima kako bi se iskoristile bezbjednosne ispravke i poboljšanja. Authy je preporučio svim svojim korisnicima Android aplikacija da nadograde svoje aplikacije na verziju 25.1.0 i korisnike iOS aplikacija na verziju 26.1.0 ili noviju kao preventivnu mjeru. Ovo će pomoći da se zaštiti korisnički nalog od potencijalnih ranjivosti koje bi napadači mogli da iskoriste,
- Zlonamjerni akteri mogu da koriste ukradene brojeve telefona da bi se lažno predstavljali kao Authy ili Twilio, čineći svoje poruke uvjerljivijim, pa je potrebno da korisnici budu oprezni na phishing i smishing napade. Korisnici treba da provjere pošiljaoca sumnjivih elektronskih poruka, tekstualnih poruka (SMS) ili poziva za koje se tvrdi da su od Authy ili Twilio. Potrebno je potražiti znakove “pecanja” kao što su pogrešno napisane riječi, netačni logotipi i hitni zahtevi za osjetljivim informacijama. Ni pod kojim okolnostima korisnici ne smiju dijeliti svoje 2FA kôdove, akreditive naloga ili lične podatke,
- Primjena više slojeva zaštite može značajno da smanji rizike povezane sa curenjem podataka kao u slučaju Twilio Authy. Korisnici bi trebalo da koriste renomirani menadžer lozinki za bezbjedno skladištenje i upravljanje složenim lozinkama za sve svoje naloge. Ovo će pomoći da se osigura da čak i ako je jedan nalog ugrožen, drugi ostaju zaštićeni,
- Omogućiti autentifikaciju u dva koraka (eng. two-factor authentication – 2FA) na svim podržanim nalozima, jer 2FA dodaje dodatni nivo sigurnosti tako što zahteva verifikacioni kôd pored standardne kombinacije korisničkog imena i lozinke prilikom prijavljivanja na nalog. Omogućavanjem ove funkcije u svim korisničkim nalozima na internetu korisnici mogu otežati napadačima da dobiju neovlašteni pristup ličnim podacima korisnika,
- Korisnici treba da budu u toku sa najnovijim dešavanjima u vezi sa Twilio Authy curenjem podataka tako što ćete redovno provjeravati zvanične komunikacije kompanije i pouzdane izvore vesti za ažuriranja. Ovo će pomoći da korisnici ostanu svjesni svih potencijalnih rizika i da preduzmu odgovarajuće mjere po potrebi.