Twilio a publié une alerte après la découverte d'une intrusion dans son service. Plusieurs millions de numéros de téléphone d'utilisateurs de son app Authy ont été dérobés.
Authy est un utilitaire populaire sur iOS et Android pour générer des codes d'authentification à double facteur pour les principaux services du web. Si par exemple vous avez besoin d'un code pour confirmer votre connexion à Google, Dropbox ou Amazon et qu'il tarde à vous être envoyé, Authy, qui s'interface avec ces services, peut en donner un.
Son éditeur, Twilio, un gros acteur des services de messageries et d'outils de gestion de clientèle pour les entreprises a publié un avertissement après la découverte d'une intrusion. Les pirates ont pu récupérer 33 millions de numéros de téléphone associés à des comptes créés pour Authy. Une mise à jour de l'app pour iOS (v26.1.0) et Android (v25.1.0) a été mise en ligne il y a quelques jours — leurs notes de version sont génériques et n'indiquent pas la raison de ces versions.
Il ne s'agit que de numéros de téléphone, mais puisqu'il est établi qu'ils sont liés au service de Twilio, cela peut permettre à ceux qui les ont dérobés de fabriquer une campagne de phishing beaucoup plus ciblée.
Source :
