Im App Store finden sich einige Apps, welche Codes für die Anmeldung über eine Multi-Faktor-Authentifizierung generieren. Zu den bekanntesten Vertretern dieser Authenticator-Anwendungen zählt das vom US-Unternehmen Twilio entwickelte Authy: Es legt zeitbasierte Einmalkennwörter vor, welche unter anderem mit einem Master-Passwort geschützt sind. Um von der Funktion Gebrauch machen zu können, ist allerdings ein Benutzerkonto erforderlich – für dieses ist eine Telefonnummer zwingend vorgesehen. Nun wurden Millionen dieser Nummern abgegriffen.


Über 33 Millionen Nutzer betroffen
Wie Twilio berichtet, verschafften sich Angreifer über einen ungesicherten API-Endpunkt Zugriff auf die Daten von Authy-Accounts. Betroffen seien auch die Telefonnummern der Nutzer. Es gebe keinen Hinweis darauf, dass weitere Daten erlangt worden wären, außerdem seien die Benutzerkonten selbst wohl nicht kompromittiert worden. Zum Ausmaß des Schadens äußert sich das Unternehmen nicht, allerdings finden sich auf Bleeping Computer und weiteren Seiten nähere Informationen: Eine Gruppe namens ShinyHunters habe eine CSV-Datei mit über 33 Millionen Datensätzen veröffentlicht. Diese beinhalten Account-IDs, Telefonnummern und Informationen zum Status des Kontos sowie zur Zahl der registrierten Geräte. Twilio erklärt, Maßnahmen ergriffen zu haben, um den Endpunkt zu sichern und nicht authentifizierte Anfragen nicht länger zuzulassen.

Vorsicht vor Phishing-Versuchen
Das Unternehmen rät nun zu einem Update der iOS- und Android-App. Außerdem sei Vorsicht vor Phishing-Angriffen geboten. Ende 2022 stand Twilio bereits aufgrund eines erfolgreichen Angriffs im Rampenlicht: Über Phishing-Versuche bei Mitarbeitern sicherten sich Kriminelle Zugriff auf interne Systeme und waren auf diese Weise in der Lage, Kundendaten abzugreifen. Im Jahr 2023 schafften es Klone bekannter Authenticator-Apps in den App Store, darunter auch ein Imitat von Authy. Diese hatten meist das Ziel, Nutzer zum Abschluss überteuerter Abonnements zu bewegen (siehe hier).