- Được thiết kế để giúp người dùng đưa ra yêu cầu xác thực hai yếu tố (2FA) dễ dàng hơn khi đăng nhập vào một ứng dụng, tuy nhiên ứng dụng Authy của Twilio dành cho cả hệ điều hành iOS và Android lại bị tin tặc xâm nhập bất hợp pháp nhằm đánh cắp số điện thoại của người dùng.
Như đã đề cập ở trên, Authy được biết đến là một ứng dụng để tạo mã xác thực 2FA được cài đặt trên điện thoại di động của người dùng. Đây là một ứng dụng đơn giản và dễ sử dụng khi bạn thiết lập xác thực hai yếu tố cho tài khoản của bạn. Mới đây, trong một bài đăng được chia sẻ trên tài khoản mạng xã hội của mình, nhóm tác giả Authy viết: "Twilio đã phát hiện ra rằng các mối đe dọa có thể xác định dữ liệu liên quan đến tài khoản Authy, bao gồm cả số điện thoại, do điểm cuối không được xác thực. Chúng tôi đã thực hiện hành động để bảo mật điểm cuối này và không cho phép các yêu cầu không được xác thực nữa. "
Twilio yêu cầu tất cả người dùng Authy cập nhật lên phiên bản ứng dụng iOS hoặc Android mới nhất để cài đặt các bản cập nhật bảo mật mới nhất. Twilio cho biết thêm, "Mặc dù tài khoản Authy không bị xâm phạm, nhưng những kẻ đe dọa có thể cố gắng sử dụng số điện thoại được liên kết với tài khoản Authy để thực hiện các cuộc tấn công lừa đảo; chúng tôi khuyến khích tất cả người dùng Authy luôn nâng cao cảnh giác về các tin nhắn họ đang nhận được.
Xác thực hai yếu tố (2FA) yêu cầu sử dụng lớp bảo vệ thứ hai khi đăng nhập vào ứng dụng. Ví dụ: sau khi đăng nhập vào một ứng dụng, bạn nhận được một tin nhắn SMS trên điện thoại chứa mã mà bạn cần nhập để mở ứng dụng. Điều này ngăn kẻ tấn công mở một trong các ứng dụng của bạn và truy cập vào tài khoản của bạn, thay đổi mật khẩu và cướp mất điểm mù của bạn. Hiện tại, Twilio cho rằng dữ liệu khách hàng bị đánh cắp trong vụ hack chỉ giới hạn ở số điện thoại.
Twilio đang đổ lỗi cho việc sử dụng “điểm cuối không được xác thực” đã dẫn đến vụ xâm nhập bất hợp pháp thành công và lưu ý rằng họ đã thực hiện hành động để bảo mật điểm cuối này và “không còn cho phép các yêu cầu không được xác thực nữa”. Một kênh truyền thông đưa, tin số điện thoại bị đánh cắp hiên nâng lên thành con số là 33 triệu. Trên một diễn đàn hack nổi tiếng, hacker có tên ShinyHunters đã thừa nhận đánh cắp 33 triệu số điện thoại di động.
Mặc dù việc đánh cắp số điện thoại không nhất thiết khiến người dùng Authy sợ hãi, nhưng những kẻ tấn công có thể sử dụng những số này để gọi điện hoặc nhắn tin cho những người đăng ký Authy là nạn nhân. Sau đó, những kẻ tấn công có thể giả vờ đến từ Authy và tìm kiếm thông tin người dùng khác bao gồm số an sinh xã hội, số tài khoản ngân hàng và dữ liệu cá nhân nhạy cảm khác. Hãy cẩn thận khi nhận cuộc gọi hoặc tin nhắn được cho là đến từ Twilio hoặc Authy và bạn không tiết lộ bất kỳ dữ liệu cá nhân nào cho dù người gọi hoặc tin nhắn có kiên quyết đến đâu.
Vụ hack này không liên quan gì đến việc 2FA có hoạt động để bảo vệ dữ liệu cá nhân của bạn hay không. Nếu bạn thích 2FA như một biện pháp ngăn chặn, đừng ngừng sử dụng nó vì Authy đã bị tấn công.
Hải Linh