Çok faktörlü kimlik doğrulama ihtiyaçlarınız için Authy kullanıyor musunuz? Kullanıyorsanız, kimlik avı girişimlerine karşı dikkatli olmalı ve SIM takas saldırılarına karşı savunmalar uygulamalısınız.
Ne oldu?
1 Temmuz’da, Authy MFA mobil uygulamasını geliştiren şirket olan Twilio, Saldırganların, Authy kullanıcılarına ait telefon numaraları ve diğer verileri içeren bir liste derlemek için kimliği doğrulanmamış API uç noktalarından birini kullandıkları kamuoyuna duyuruldu.
Twilio, şirket sistemlerinin ihlal edilmediğini ve Authy hesaplarının tehlikeye atılmadığını söyledi ancak şirket, “tehdit aktörlerinin kimlik avı ve smishing saldırıları için Authy hesaplarıyla ilişkili telefon numarasını kullanmaya çalışabileceği” konusunda uyardı.
Görünüşe göre 33 milyon Authy kullanıcısının verilerini içeren liste, satışa sunuldu. Şirketlere sızma ve müşterilerinin verilerini çalma, ardından bunları fidye için tutma ve/veya siber suçluların sıklıkla bulunduğu forumlarda ve pazarlarda en yüksek teklifi verene satma konusunda uzmanlaşmış bir tehdit aktörü.
Grup, Authy listesinin kripto para borsaları Gemini ve Nexo’dan çalınan müşteri veritabanlarıyla çapraz referanslanmasını öneriyor, böylece alıcılar son derece hedefli kimlik avı veya SIM kart değişimi kullanıcıların kripto para birikimine el koymak için.
Twilio ayrıca tüm Authy kullanıcılarından “önlem olarak” ve en son güvenlik güncellemelerini edinmenin bir yolu olarak en son Android (v25.1.0) ve iOS (v26.1.0) uygulamalarına güncelleme yapmalarını istedi, ancak bunun sizi kimlik avı saldırılarına karşı korumak için hiçbir şey yapmadığını bilmelisiniz. Bu nedenle daha dikkatli olmanız önerilir.
API uç noktalarının kullanımı
API uç noktalarının verileri toplamak ve doğrulamak için kötüye kullanılması hem meşru şirketler (örneğin pazarlama amaçlı) hem de siber suçlular çünkü uygulama teknik olarak yasadışı değildir. API’lerin sahipleri, onları kötüye kullanıma karşı korumalıdır.
Ancak, güvenli olmayan, herkese açık API’ler, verileri toplamak için defalarca kötüye kullanılıyor. Her türlü kullanıcı verisi dahil olmak üzere veriler hesapları ele geçirmek için kullanılır.
Authy’nin durumunda, güvenli olmayan API noktası, (muhtemelen) çok sayıda telefon numarasıyla donatılmış saldırganların, bu listeyi kısaltmalarına ve diğer suçlular için çok faydalı olabilecek bir liste oluşturmalarına yardımcı oldu.
MFA’da dolaşmak
Authy ile ilgili uyarıdan birkaç gün sonra Twilio gönderildi Müşterilere yönelik, IdentifyMobile’ın yedek taşıyıcısı iBasis’in alt taşıyıcısı (2FA-SMS “dağıtıcısı”) olarak, “istemeden belirli SMS ile ilgili verileri internette kamuya açık hale getirdiğini” açıklayan bir bildirim – özellikle, Mayıs 2024’te beş gün boyunca bir AWS S3 kovasını kamuya açık hale getirerek.
Sorun, tanınmış bir güvenlik araştırma grubu olan Chaos Computing Club tarafından keşfedildi. Kulüp, 200’den fazla şirket tarafından gönderilen ve tek kullanımlık şifreler içeren 200 milyondan fazla kısa mesajın, nereye bakacağını bilen herkes tarafından erişilebilir olduğunu söyledi.
“’idmdatastore’ alt alan adını tahmin etmek yeterliydi. SMS içeriğinin yanı sıra, alıcıların telefon numaraları, gönderici adları ve bazen diğer hesap bilgileri de görülebiliyordu.”
Twilio, bu güvenlik ihmalinden yalnızca birkaç belirli ülkedeki müşterilerin etkilenmiş olabileceğini söylerken, (yaptıkları soruşturma sonucunda) kişisel verilerini içeren mesajların ifşa edilmediğine inandıklarını da belirtti.
Amazon, Microsoft, DHL, Google, Airbnb gibi şirketler tarafından gönderilen mesajlar da erişilebilirdi ve kötü niyetli saldırganların hizmetlere giriş yapmasına ve hesapları ele geçirmesine, finansal işlemler gerçekleştirmesine vb. yardımcı olabilirdi – ilk kimlik doğrulama faktörüne (bir parola) sahip olmaları şartıyla. Ancak araştırmacıların belirttiği gibi, “1 tıklamayla giriş” bağlantıları da verilere dahil edildi ve bu da potansiyel saldırganların parola gereksinimini görmezden gelmelerine olanak sağladı.
“Bazı büyük etkilenen şirketler için, yalnızca bireysel hizmetler IdentifyMobile tarafından korundu. Yine de, IdentifyMobile’ın ihmali şirketleri ve müşterilerini önemli risklere maruz bıraktı. Bu, dünya çapındaki veri koruma departmanlarından gelen ve artık tüm kanallardan bize ulaşan çok sayıda benzer sorgudan da anlaşılıyor,” diye eklediler.
“Verileri saklamadığımızı teyit etmekten mutluluk duyuyoruz. Ancak başkalarının erişmiş olma ihtimalini de göz ardı edemeyiz.”
0 Yorumlar