Twilio, la société de communication sur le cloud, est bien connue pour ses services de messagerie et d’appels. L’une de ses applications populaires est Authy, qui permet aux utilisateurs de mettre en place une authentification à deux facteurs (2FA) pour renforcer la sécurité de leurs comptes en ligne. Cependant, récemment, Twilio a été confronté à une violation de données majeure ; les attaquants ont pu récupérer 33 millions de numéros de téléphone. En 2022, Twilio a révélé avoir subi des violations en juin et en août qui ont permis à des cybercriminels de pénétrer dans son infrastructure et d'accéder aux informations des clients d'Authy.Twilio Inc. est une société américaine de communications en nuage basée à San Francisco, en Californie, qui fournit des outils de communication programmables permettant de passer et de recevoir des appels téléphoniques, d'envoyer et de recevoir des messages textuels et d'exécuter d'autres fonctions de communication à l'aide de ses API de services web.
Pour ceux qui ne connaissent pas Authy, il s'agit d'un outil d'authentification multi-facteurs (MFA) populaire, que Twilio a acquis en 2015. L'application mobile génère des codes d'authentification multifactorielle sur les sites web où elle est activée.
Fin juin, un dénommé ShinyHunters a divulgué un fichier texte CSV contenant ce qu'il prétend être 33 millions de numéros de téléphone enregistrés avec le service Authy. Le fichier CSV contient 33 420 546 lignes, chacune contenant un identifiant de compte, un numéro de téléphone, une colonne "over_the_top", l'état du compte et le nombre d'appareils.
Comment cela s’est-il produit ?
Voici le communiqué de Twilio sur le sujet :
« Twilio estime que la sécurité de ses produits et des données de ses clients est d'une importance capitale et lorsqu'un incident se produit qui pourrait menacer cette sécurité, nous vous en informons.
« Twilio a détecté que des acteurs menaçants ont pu identifier des données associées aux comptes Authy, y compris des numéros de téléphone, en raison d'un point de terminaison non authentifié. Nous avons pris des mesures pour sécuriser ce point d'accès et ne plus autoriser les requêtes non authentifiées.
« Nous n'avons vu aucune preuve que les acteurs de la menace ont obtenu l'accès aux systèmes de Twilio ou à d'autres données sensibles. Par précaution, nous demandons à tous les utilisateurs d'Authy de mettre à jour les dernières applications Android et iOS pour les dernières mises à jour de sécurité. Bien que les comptes Authy ne soient pas compromis, les acteurs de la menace peuvent essayer d'utiliser le numéro de téléphone associé aux comptes Authy pour des attaques de phishing et de smishing ; nous encourageons tous les utilisateurs d'Authy à rester vigilants et à être plus attentifs aux textes qu'ils reçoivent ».
En clair, la fuite de données a été rendue possible par un point d’accès non authentifié. En d’autres termes, les pirates ont trouvé une faille dans le système qui leur a permis d’accéder aux informations. Twilio a rapidement identifié et corrigé cette vulnérabilité, mais les conséquences sont déjà là.
Utilisation abusive d'API non sécurisées
Les données ont été compilées en introduisant une liste massive de numéros de téléphone dans le point de terminaison API non sécurisé. Si le numéro était valide, le point de terminaison renvoyait des informations sur les comptes associés enregistrés avec Authy. Maintenant que l'API a été sécurisée, elle ne peut plus être utilisée de manière abusive pour vérifier si un numéro de téléphone est utilisé avec Authy.
Cette technique est similaire à la manière dont les cybercriminels ont abusé d'une API Twitter et d'une API Facebook non sécurisées pour compiler les profils de dizaines de millions d'utilisateurs contenant à la fois des informations publiques et non publiques.
Bien que cet ensemble de données ne contienne que des numéros de téléphone, ils peuvent toujours être avantageux pour les utilisateurs qui cherchent à mener des attaques de smishing et d'échange de cartes SIM pour violer des comptes. D'ailleurs, ShinyHunters y fait allusion dans son message en déclarant : "You guys can join it on gemini or Nexo db", suggérant que les cybercriminels comparent la liste...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.