Authy: 2FA-App angegriffen - Millionen Kundendaten betroffen

Der Softwareentwickler Twilio hat mit der Authy-App eine Lösung für eine Zwei-Faktor-Authentifizierung (2FA) mittels des standardisierten Verfahrens TOTP für Einmal-Kennwörter am Start. Die für mehr Nutzersicherheit entwickelte App ist nun allerdings Opfer eines Angriffs geworden, wovon mehr als 30 Millionen Kunden auf der ganzen Welt betroffen sind.

Die Angreifer haben einen ungesicherten API-Endpunkt genutzt und konnten so die Telefonnummern der User abgreifen. Schnell war man bei Twilio bemüht, den Schaden einzuordnen. Sensible Daten oder gar interne Systeme seien nicht von dem Angriff betroffen, gab man bekannt. Gleichzeitig forderte man sämtliche Nutzer auf, die neuesten Updates für die App aufzuspielen. Ob das aber bei einem systemischen Backend-Angriff nutzt, bleibt fraglich.

Was nun aber folgen könnte: Phishing-Angriffe via SMS oder sogenannte SIM-Swapping-Angriffe. Denn die Liste der Telefonnummern steht als CSV im Netz. Zusätzlich sind in der Liste die Account-IDs enthalten und die Anzahl der mit dem Account verknüpften Geräte. Nutzer von Authy sollten also in naher Zukunft besonders umsichtig agieren.

Twilio gibt dazu folgendes Stement ab: "Twilio hat festgestellt, dass unbekannte Personen aufgrund eines nicht authentifizierten Endpunkts in der Lage waren, Daten in Verbindung mit Authy-Konten, einschließlich Telefonnummern, zu identifizieren. Wir haben Maßnahmen ergriffen, um diesen Endpunkt zu sichern und lassen keine unauthentifizierten Anfragen mehr zu. Wir haben keine Hinweise darauf, dass die unbekannten Täter in die Systeme von Twilio eingedrungen sind oder sich Zugang zu den Systemen von Twilio oder anderen sensiblen internen Daten verschafft haben. Als Vorsichtsmaßnahme empfehlen wir alle Authy-Benutzer, die neuesten Sicherheitsupdates für Android- und iOS-Apps zu installieren, und raten allen Authy-Benutzern, auf Phishing- und Smishing-Attacken zu achten und ein erhöhtes Bewusstsein zu haben."