Die neueste Sicherheitslücke in der digitalen Welt betrifft Authy, eine beliebte Multi-Faktor-Authentifizierungs-App. Ein API-Endpunkt, der nicht ausreichend gesichert war, wurde von Hackern ausgenutzt, um eine beeindruckende Menge an Telefonnummern zu erbeuten. Die Kriminellen, die unter dem Namen ShinyHunters bekannt sind, haben eine CSV-Datei mit den Daten von angeblich 33 Millionen Authy-Nutzern im Internet veröffentlicht. Dies könnte eine Welle von SMS-Phishing-Attacken auslösen.

Was ist passiert?

Twilio, das Unternehmen hinter Authy, gab bekannt, dass Angreifer Telefonnummern von Authy-Accounts abgegriffen haben. Die Hacker nutzten eine ungesicherte API, um massenhaft Telefonnummern abzufragen und die entsprechenden Daten zu extrahieren. Glücklicherweise gibt es keine Hinweise darauf, dass sie Zugriff auf andere sensible Daten oder interne Backend-Systeme von Twilio erlangen konnten.

Aktualisierung der Authy-App und Vorsichtsmaßnahmen

Twilio rät allen Nutzern dringend, die neueste Version der Authy-App auf ihren Android- und iOS-Geräten zu installieren. Die Desktop-Version der App wurde bereits im Februar 2024 eingestellt. Diese Updates sollen helfen, die Sicherheit der Nutzer zu gewährleisten, obwohl der Angriff im Backend von Twilio stattfand. Daher bleibt unklar, wie die App-Updates die Nutzer schützen sollen.

Wer Authy nutzt, sollte sich auf mögliche SMS-Phishing-Angriffe einstellen. Diese können dazu verwendet werden, weitere persönliche Informationen zu erlangen. Auch SIM-Swapping-Angriffe sind denkbar, bei denen Betrüger sich als Anschlussinhaber ausgeben und eine neue SIM-Karte mit der gestohlenen Nummer erhalten. In Deutschland ist dieses Risiko jedoch relativ gering.

Die veröffentlichten Daten

Das Security-Newsportal Bleeping Computer berichtet, dass ShinyHunters eine CSV-Datei mit über 33 Millionen Datensätzen veröffentlicht hat. Diese Datensätze enthalten neben den Telefonnummern und Account-IDs auch Informationen zum Account-Status, zur Anzahl der Geräte und zu möglichen Gerätesperren.

Die Hacker verschickten massenhaft Telefonnummern an den ungesicherten API-Endpunkt und erhielten für jede in der Authy-Datenbank vorhandene Nummer Informationen zurück. Obwohl keine sensiblen Informationen wie Kreditkartennummern in den veröffentlichten Daten enthalten sind, haben die Angreifer zumindest die Bestätigung erhalten, dass eine Telefonnummer bei Authy registriert ist.

Rückblick auf ähnliche Vorfälle

Der Vorfall erinnert an frühere Ereignisse: 2019 wurden über 400 Millionen Telefonnummern von Facebook-Nutzern veröffentlicht. Anfang 2024 missbrauchten Angreifer eine öffentliche Trello-API, um E-Mail-Adressen mit Trello-Profilen zu verknüpfen. Auch Twilio war Ende 2022 nach einem Phishing-Angriff auf Mitarbeiter im Fokus, als Angreifer Zugriff auf Kundendaten erhielten. Nutzer des Messengers Signal waren ebenfalls betroffen.

Die jüngsten Ereignisse verdeutlichen einmal mehr, wie wichtig es ist, API-Endpunkte angemessen zu sichern und die Nutzer über mögliche Risiken zu informieren. Bleiben Sie wachsam und schützen Sie Ihre Daten!