Obeťou si sa mohol sťať aj ty. Zo známej aplikácie unikli milióny mobilných čísel
Hackeri zaútočili na populárnu MFA službu Authy a odniesli si obrovské množstvo telefónnych čísel. Čo ti môže reálne hroziť?
Bezpečnostní experti upozorňujú na hackerskú kampaň, ktorá zasiahla milióny užívateľov. Týka sa mobilnej aplikácie Authy, ktorá generuje MFA kódy pre webstránky, ktoré majú viacfaktorovú autentifikáciu zapnutú.
Hackeri dokázali nájsť slabinu v nezabezpečenom API endpointe. Cez ňu následne dokázali overiť telefónne čísla miliónov užívateľov aplikácie. Ako informuje portál BleepingComputer, zasiahnutí užívatelia mohli byť obeťami SMS phishingových podvodov a v horších prípadoch aj SIM swappingu.
SIM swapping je metóda útoku, ktorá umožňuje kyberzločincom “vymeniť” tvoju SIM kartu. V podstate ide o formu sociálneho inžinierstva, kedy podvodník presvedčí operátora, aby preniesol tvoje číslo na novú SIM kartu, ktorá ale príde na adresu útočníka. Ak sa staneš obeťou SIM swappingu, jedného dňa si môžeš všimnúť, že tvoja SIMka prestala z ničoho nič fungovať.
Hackeri využívajú tvoje číslo na to, aby sa pokúsili podviesť tvojich blízkych a známych alebo aby vykonávali podvody v tvojom mene.
Taylor Grote / Unplash.com, Wikimedia (Ʀinaldum)
Desiatky miliónov užívateľov v ohrození
Nové útoky na aplikáciu Authy sú podľa bezpečnostných expertov naozaj masívne. Koncom júna objavili CSV textový súbor, ktorý na internet zavesila hackerská skupina ShinyHunters. V tomto súbore sa malo podľa slov hackerov nachádzať až 33-miliónov telefónnych čísel, ktoré boli registrované v aplikácií Authy.
Neprehliadni
Čísla boli spojené s ID číslom účtu, stavom účtu a počtom zariadení. Spočiatku sa nevedelo, ako sa hackeri k týmto dátam dostali. Cloudová telekomunikačná spoločnosť Twilio pre portál BleepingComputer potvrdila, že hackeri zaútočili cez neautentifikovaný API endpoint.
“Twilio odhalila, že kyberzločinci dokázali identifikovať dáta spojené s Authy účtami, vrátane telefónnych čísel, kvôli neautentifikovanému endpointu. Už sme vykonali potrebné kroky na jeho zabezpečenie a už neprijíma neoverené požiadavky,” tvrdí Twilio.
Hackeri sa nedostali do citlivých častí systému
Spoločnosť nenašla žiadne dôkazy, ktoré by naznačili, že by kyberzločinci získali prístup k systémom spoločnosti alebo iným citlivým dátam. Ako opatrenie však spoločnosť vyzýva všetkých užívateľov aplikácie Authy, aby svoje zariadenia aktualizovali na najnovšiu verziu.
Zároveň spoločnosť varuje, že užívatelia aplikácie by si v dohľadnej dobe mali dávať dvojnásobný pozor na phishingové alebo smishingové útoky.
Ako to urobili?
Hackeri sa dokázali k telefónnym číslam dostať tak, že do nezabezpečeného API endpointu vložili naozaj masívny zoznam telefónnych čísel. Ak bolo číslo platné, cez endpoint dostali hackeri informáciu o účte, ktorý používa toto číslo a je registrovaný v Authy. Podobné techniky kyberzločinci využili aj na napadnutie nezabezpečeného API Twitteru a Facebooku. Cez tieto útoky získali informácie o desiatkach miliónov účtov.
Ako sme už ale spomenuli vyššie, spoločnosti Twilio sa už podarilo túto chybu opraviť. Znamená to, že kyberzločinci už nedostanú prístup k telefónnym číslam cez túto metódu.
“Útok na Authy dal hackerom len zoznam telefónnych čísel. Aj keď tento únik nepredstavuje žiadne priame riziko, kyberzločinci vedia zneužiť telefónne čísla na phishinové útoky a SIM swapping,” tvrdia odborníci.
Aby sme nemaľovali čerta na stenu, hoci je SIM swapping oveľa nebezpečnejší ako phishing, zároveň je oveľa menšia šanca, že sa oň hackeri pokúsia, a že sa im podarí. Ak máš Authy účet aj ty a existuje riziko, že padlo za obeť aj tvoje číslo, dávaj si pozor na phishing, s ktorým sa môžeš stretávať túto dobu častejšie. Ako rozpoznať phishing sa dozvieš v tomto článku.
Hackeri môžu mať za lubom oveľa viac
Bezpečnostní experti postrehli príspevok hackerskej skupiny ShinyHunters, ktorý vyzýval ostatných kyberzločincov, aby čísla porovnávali s Gemini alebo Nexo db. S najväčšou pravdepodobnosťou odkazujú na dva ďalšie úniky dát. Hackeri teda môžu porovnávať telefónne čísla s ďalšími uniknutými dátami, čo by už mohlo viesť k výraznejším zásahom do súkromia obetí
Komentáre