Twilio, la société de communication sur le cloud, est bien connue pour ses services de messagerie et d’appels. L’une de ses applications populaires est Authy, qui permet aux utilisateurs de mettre en place une authentification à deux facteurs (2FA) pour renforcer la sécurité de leurs comptes en ligne. Cependant, récemment, Twilio a été confronté à une violation de données majeure ; les attaquants ont pu récupérer 33 millions de numéros de téléphone. En 2022, Twilio a révélé avoir subi des violations en juin et en août qui ont permis à des cybercriminels de pénétrer dans son infrastructure et d'accéder aux informations des clients d'Authy.Twilio Inc. est une société américaine de communications en nuage basée à San Francisco, en Californie, qui fournit des outils de communication programmables permettant de passer et de recevoir des appels téléphoniques, d'envoyer et de recevoir des messages textuels et d'exécuter d'autres fonctions de communication à l'aide de ses API de services web.
Pour ceux qui ne connaissent pas Authy, il s'agit d'un outil d'authentification multi-facteurs (MFA) populaire, que Twilio a acquis en 2015. L'application mobile génère des codes d'authentification multifactorielle sur les sites web où elle est activée.
Fin juin, un dénommé ShinyHunters a divulgué un fichier texte CSV contenant ce qu'il prétend être 33 millions de numéros de téléphone enregistrés avec le service Authy. Le fichier CSV contient 33 420 546 lignes, chacune contenant un identifiant de compte, un numéro de téléphone, une colonne "over_the_top", l'état du compte et le nombre d'appareils.
Comment cela s’est-il produit ?
Voici le communiqué de Twilio sur le sujet :
« Twilio estime que la sécurité de ses produits et des données de ses clients est d'une importance capitale et lorsqu'un incident se produit qui pourrait menacer cette sécurité, nous vous en informons.
« Twilio a détecté que des acteurs menaçants ont pu identifier des données associées aux comptes Authy, y compris des numéros de téléphone, en raison d'un point de terminaison non authentifié. Nous avons pris des mesures pour sécuriser ce point d'accès et ne plus autoriser les requêtes non authentifiées.
« Nous n'avons vu aucune preuve que les acteurs de la menace ont obtenu l'accès aux systèmes de Twilio ou à d'autres données sensibles. Par précaution, nous demandons à tous les utilisateurs d'Authy de mettre à jour les dernières applications Android et iOS pour les dernières mises à jour de sécurité. Bien que les comptes Authy ne soient pas compromis, les acteurs de la menace peuvent essayer d'utiliser le numéro de téléphone associé aux comptes Authy pour des attaques de phishing et de smishing ; nous encourageons tous les utilisateurs d'Authy à rester vigilants et à être plus attentifs aux textes qu'ils reçoivent ».
En clair, la fuite de données a été rendue possible par un point d’accès non authentifié. En d’autres termes, les pirates ont trouvé une faille dans le système qui leur a permis d’accéder aux informations. Twilio a rapidement identifié et corrigé cette vulnérabilité, mais les conséquences sont déjà là.
Utilisation abusive d'API non sécurisées
Les données ont été compilées en introduisant une liste massive de numéros de téléphone dans le point de terminaison API non sécurisé. Si le numéro était valide, le point de terminaison renvoyait des informations sur les comptes associés enregistrés avec Authy. Maintenant que l'API a été sécurisée, elle ne peut plus être utilisée de manière abusive pour vérifier si un numéro de téléphone est utilisé avec Authy.
Cette technique est similaire à la manière dont les cybercriminels ont abusé d'une API Twitter et d'une API Facebook non sécurisées pour compiler les profils de dizaines de millions d'utilisateurs contenant à la fois des informations publiques et non publiques.
Bien que cet ensemble de données ne contienne que des numéros de téléphone, ils peuvent toujours être avantageux pour les utilisateurs qui cherchent à mener des attaques de smishing et d'échange de cartes SIM pour violer des comptes. D'ailleurs, ShinyHunters y fait allusion dans son message en déclarant : "You guys can join it on gemini or Nexo db", suggérant que les cybercriminels comparent la liste des numéros de téléphone à ceux qui ont été divulgués lors des violations de données présumées de Gemini et de Nexo.
Si des correspondances sont trouvées, les cybercriminels pourraient tenter d'effectuer des attaques d'échange de SIM ou des attaques d'hameçonnage pour pénétrer dans les comptes d'échange de crypto-monnaies et voler tous les actifs.
Quelles sont les implications pour les utilisateurs ?
- Risque de phishing : Les pirates connaissent désormais trois choses vous concernant : votre numéro de téléphone, votre utilisation de l’authentification à deux facteurs et votre utilisation spécifique d’Authy. Ils pourraient utiliser ces informations pour créer des messages persuasifs, prétendant provenir d’un de vos services et vous demandant de réinitialiser votre 2FA.
- Vigilance requise : Twilio recommande à tous les utilisateurs d’Authy de mettre à jour vers la dernière version de l’application sur Android et iOS. Soyez également vigilant face aux messages suspects. Si vous recevez un SMS ou un appel inhabituel, vérifiez toujours l’authenticité avant de fournir des informations.
Le fait de savoir quels numéros de téléphone sont utilisés pour Authy offre aux pirates de nouveaux moyens de mener des attaques de phishing et de contourner le MFA de leurs victimes. Par exemple, les cybercriminels pourraient se faire passer pour Authy et contacter les utilisateurs par SMS pour leur demander de partager des codes sensibles au temps afin d'accéder à différents comptes.
« Si les attaquants sont capables d'énumérer une liste de numéros de téléphone d'utilisateurs, ils peuvent alors prétendre être Authy/Twilio auprès de ces utilisateurs, ce qui augmente la crédibilité d'une attaque de phishing sur ce numéro de téléphone », a déclaré Rachel Tobac, PDG de SocialProof Security, à la publication.
Twilio est une plateforme de communication en nuage conçue pour les entreprises qui souhaitent intégrer des communications en temps réel dans leurs applications logicielles.
Que faire pour se protéger ?
- Mettez à jour Authy : Assurez-vous d’avoir la dernière version d’Authy installée sur votre téléphone. Les mises à jour peuvent inclure des correctifs de sécurité importants.
- Surveillez vos messages : Soyez attentif aux SMS et aux appels inattendus. Si quelque chose semble suspect, ne répondez pas immédiatement. Vérifiez plutôt l’authenticité de la demande.
- Changez vos codes d’accès : Si vous pensez que votre compte a été compromis, changez immédiatement vos codes d’accès et surveillez vos comptes pour toute activité inhabituelle.
Twilio a publié une nouvelle mise à jour de sécurité et recommande aux utilisateurs de mettre à jour Authy Android (v25.1.0) et iOS App (v26.1.0), qui comprend des mises à jour de sécurité. Il n'est pas clair comment cette mise à jour de sécurité aide à protéger les utilisateurs contre les acteurs de la menace qui utilisent les données récupérées dans les attaques.
Les utilisateurs d'Authy doivent également s'assurer que leurs comptes mobiles sont configurés pour bloquer les transferts de numéros sans fournir de code d'accès ou désactiver les protections de sécurité.
En outre, les utilisateurs d'Authy doivent être attentifs aux attaques potentielles de phishing par SMS qui tentent de voler des données plus sensibles, telles que les mots de passe.
Ce n'est pas la première violation de données infligée à Twilio
En 2022, Twilio a été victime d'une violation de données plus importante, lorsqu'un groupe de pirates a accédé aux données de plus de 100 clients de l'entreprise. Les pirates ont ensuite lancé une vaste campagne d'hameçonnage qui a abouti au vol d'environ 10 000 informations d'identification d'employés d'au moins 130 entreprises. Dans le cadre de cette violation, Twilio a déclaré que les pirates avaient réussi à cibler 93 utilisateurs individuels d'Authy et avaient pu enregistrer des dispositifs supplémentaires sur les comptes Authy de ces victimes, ce qui leur a permis de voler de véritables codes à deux facteurs.
À l'époque, la société de cybersécurité Group-IB a indiqué que l'attaque contre Twilio faisait partie d'une campagne plus large menée par le groupe de pirates informatiques qu'elle appelle "0ktapus", en référence à la façon dont les pirates ciblent principalement les organisations qui utilisent Okta comme fournisseur d'authentification unique.
Group-IB, qui a lancé une enquête après que l'un de ses clients a été la cible d'une attaque de phishing liée, a déclaré dans ses conclusions que la grande majorité des entreprises ciblées ont leur siège social aux États-Unis ou ont du personnel basé aux États-Unis. Les attaquants ont volé au moins 9 931 identifiants d'utilisateurs depuis mars, selon les conclusions de Group-IB, dont plus de la moitié contiennent des codes d'authentification multi-facteurs capturés utilisés pour accéder au réseau d'une entreprise.
« Il arrive souvent que des images, des polices ou des scripts soient suffisamment uniques pour permettre d'identifier les sites de phishing conçus avec le même kit de phishing », a déclaré Roberto Martinez, analyste principal des renseignements sur les menaces chez Group-IB. « Dans ce cas, nous avons trouvé une image qui est légitimement utilisée par les sites utilisant l'authentification Okta et qui est utilisée par le kit d'hameçonnage ».
Source : Twilio (1, 2), Group-IB
Et vous ?
Quelles mesures de sécurité supplémentaires utilisez-vous pour protéger vos comptes en ligne ? Partagez vos pratiques en matière d’authentification à deux facteurs (2FA) et de sécurité des mots de passe. Avez-vous déjà été victime de phishing ou d’une tentative d’hameçonnage ? Partagez vos expériences et discutez des signes avant-coureurs que vous avez remarqués. Comment choisissez-vous vos applications d’authentification à deux facteurs ? Indiquez vos critères de sélection et vos préférences. Pensez-vous que les entreprises devraient être plus transparentes en cas de violation de données ? Pensez à la communication des entreprises lorsqu’une violation se produit. Quelles autres précautions prenez-vous pour protéger vos informations personnelles en ligne ? Évoquez vos meilleures pratiques.