클라우드 통신 제공업체 Twilio는 신원이 확인되지 않은 위협 행위자가 Authy의 인증되지 않은 엔드포인트를 악용하여 사용자의 휴대전화 번호를 포함하여 Authy 계정과 관련된 데이터를 식별했다고 밝혔습니다.
해당 회사는 인증되지 않은 요청을 더 이상 수락하지 않도록 엔드포인트의 보안을 강화하는 조치를 취했다고 밝혔습니다.
이러한 사건은 ShinyHunters라는 온라인 페르소나가 Authy 계정에서 가져온 것으로 알려진 3,300만 개의 전화번호가 포함된 데이터베이스를 BreachForums에 게시한 지 며칠 후에 발생했습니다.
2015년부터 Twilio가 소유한 Authy는 계정 보안을 한 단계 더 강화하는 인기 있는 2단계 인증(2FA) 앱입니다.
2024년 7월 1일 보안 경고에서 “위협 행위자가 Twilio의 시스템이나 기타 민감한 데이터에 액세스했다는 증거는 확인되지 않았습니다.”라고 밝혔습니다.
하지만 각별한 주의를 기울여 사용자에게 Android(버전 25.1.0 이상) 및 iOS(버전 26.1.0 이상) 앱을 최신 버전으로 업그레이드할 것을 권장하고 있습니다.
또한 위협 행위자들이 Authy 계정과 연관된 전화번호를 피싱 및 스미싱 공격에 사용할 수 있다는 경고도 포함되었습니다.
“Authy 사용자 모두 주의를 기울이고 자신이 받는 문자 메시지에 대한 인식을 높이기를 권장합니다.”라고 적혀 있습니다.