Twilio ने पुष्टि की कि हैकर ने 3.3 करोड़ Authy उपयोगकर्ताओं के फ़ोन नंबर डेटा लीक कर दिए

 (securityweek.com)
3 पॉइंट द्वारा GN⁺ 2024-07-05 | 2 टिप्पणियां | WhatsApp पर शेयर करें
  • कुख्यात ShinyHunters हैकर समूह ने BreachForums वेबसाइट पर घोषणा की कि वह Twilio के 2FA ऐप Authy से जुड़े 3.3 करोड़ रैंडम फ़ोन नंबर लीक कर रहा है
  • लीक हुई जानकारी में account ID और कुछ गैर-व्यक्तिगत डेटा भी शामिल हैं
  • Twilio ने अपनी वेबसाइट पर security alert पोस्ट करके डेटा लीक की पुष्टि की
  • कंपनी ने कहा, "Twilio ने एक threat actor का पता लगाया, जो एक unauthenticated endpoint के माध्यम से Authy account से जुड़े डेटा की पहचान कर सका। हमने इस endpoint को सुरक्षित करने के लिए कदम उठाए हैं और अब unauthenticated requests की अनुमति नहीं देते हैं"
  • Twilio का कहना है कि हैकर के system तक पहुंचने या अन्य sensitive data हासिल करने का कोई सबूत नहीं है, लेकिन एहतियात के तौर पर उसने Authy उपयोगकर्ताओं को नवीनतम Android और iOS security updates इंस्टॉल करने की सलाह दी है
  • Twilio ने कहा, "Authy account compromise नहीं हुए हैं, लेकिन threat actor Authy account से जुड़े फ़ोन नंबरों का उपयोग phishing और smishing attacks के लिए कर सकता है, इसलिए हम सभी Authy उपयोगकर्ताओं को सलाह देते हैं कि वे मिलने वाले सभी text messages के प्रति सतर्क और सावधान रहें"

GN⁺ की राय

  • Twilio की data leak घटना unauthenticated endpoint के महत्व को रेखांकित करती है। यह दिखाती है कि secure endpoints बनाए रखना कितना महत्वपूर्ण है
  • Authy उपयोगकर्ताओं को phishing और smishing attacks के प्रति अधिक सतर्क रहना चाहिए। फ़ोन नंबर लीक होने से ऐसे हमलों के बढ़ने की संभावना है
  • Twilio ने तेज़ी से प्रतिक्रिया देकर endpoint को सुरक्षित किया, लेकिन अन्य कंपनियों को भी ऐसी ही स्थितियों के लिए तैयार रहना चाहिए। preventive measures महत्वपूर्ण हैं
  • ShinyHunters जैसे हैकर समूहों की गतिविधियां लगातार बढ़ रही हैं। कंपनियों को अपनी security posture की लगातार जांच और मजबूती करनी चाहिए
  • समान सुविधाएं देने वाले अन्य security apps में Google Authenticator, Microsoft Authenticator आदि शामिल हैं। उपयोगकर्ता अलग-अलग विकल्पों पर विचार कर सकते हैं

संबंधित पढ़ाई

2 टिप्पणियां

 
carnoxen 2024-07-12

https://gist.github.com/gboudreau/94bb0c11a6209c82418d01a59d958c93

Authy के अंदर का डेटा निकालने का तरीका
 
GN⁺ 2024-07-05
Hacker News राय

  • मेरा फ़ोन नंबर कई data breach में शामिल रहा है, इसलिए spam बहुत बढ़ गया है

    • पारंपरिक टेलीफोन नेटवर्क spam समस्या के कारण fax की तरह गायब होने के जोखिम में है
    • परिवार के साथ कॉल के लिए भी FaceTime, Zoom, Meet आदि का उपयोग कर रहा हूँ
    • पारंपरिक टेलीफोन नेटवर्क के ज़रिए की गई किसी वैध कॉल को याद नहीं कर सकता
    • ये प्लेटफ़ॉर्म बाज़ार पर पूरी तरह कब्ज़ा कर लेने के बाद विज्ञापन जोड़ सकते हैं
    • Gmail के email से कमाई करने के उदाहरण से यह समझा जा सकता है

  • Authy का मोबाइल नंबर और email address माँगना अनुचित है

    • cloud sync या backup की ज़रूरत नहीं है
    • user जानकारी को cloud में स्टोर करना हमले का लक्ष्य बन सकता है
    • यह 2FA की भावना के अनुरूप नहीं है

  • Twilio, SendGrid और Twilio के अपने 2FA के लिए Authy को अनिवार्य करता है

    • standardized 2FA support नहीं है, इसलिए 1Password का उपयोग नहीं किया जा सकता
    • Authy उपयोग करने के लिए मजबूर किया गया, लेकिन फिर भी समस्याएँ हुईं
    • Twilio को users पर अपना custom solution नहीं थोपना चाहिए

  • कई संगठन और कंपनियाँ पहली ही बातचीत में personal information माँगने पर नाराज़गी जताती हैं

    • healthcare providers भी client data को plain text email में भेज देते हैं
    • वे दावा करते हैं कि medical results देने वाले documents का copyright उन्हीं के पास है
    • लोग इन services को high rating देते हैं, लेकिन वास्तव में terms of service नहीं पढ़ते

  • user registration endpoint में information disclosure vulnerability मिली थी

    • Authy user के फ़ोन नंबर से दूसरे नंबर, devices, timestamps, email addresses आदि देखे जा सकते थे
    • इस समस्या को ठीक करने में 2 साल लग गए

  • 2FA token बनाने के लिए Authy का iOS app उपयोग करता हूँ, लेकिन फ़ोन नंबर दर्ज करने की याद नहीं है

    • जाँच कर रहा हूँ कि यह iOS client app की अपनी समस्या है, या केवल online account बनाने वाले users प्रभावित हुए थे

  • unauthenticated endpoint के कारण Twilio, Authy account से जुड़े data की पहचान कर सका

    • इस endpoint को secure कर दिया गया है ताकि अब unauthenticated requests स्वीकार न हों
    • अपनी app में ऐसी समस्याओं से बचने के लिए हर request पर authentication अनिवार्य करना चाहिए, और row-level security लागू करनी चाहिए
    • test framework का उपयोग करके ऐसी समस्याएँ पकड़ी जा सकती हैं

  • अगर आप Authy की custom auth scheme का उपयोग नहीं करते, तो अभी data export करने का समय है

    • raw totp token केवल desktop version से export किए जा सकते हैं
    • desktop app में token लोड करने के बाद, पुराने version पर downgrade करके JavaScript function चलाना होगा

  • iPhone में Do Not Disturb mode सेट करने पर सभी कॉल voicemail में चली जाती हैं

    • सिर्फ emergency contacts, favorites, और 1by1 Focus में मौजूद लोगों की repeated calls ही बजती हैं
    • Android में वही setting काम नहीं करती
    • फ़ोन नंबर को Google Voice या Fi में port करने पर spam calls filter की जा सकती हैं

  • ente.io/auth बनाया है

    • cross-platform authenticator चाहिए तो इसे देखें
    • FOSS, optional e2ee backup उपलब्ध