Twilio 에서 제공하는 Authy의 2단계 인증(2FA) 서비스가 전화번호를 확인하기 위해 API를 악용되었습니다.
Twilio는 보안 되지 않은 API 엔드포인트 를 통해 위협 행위자가 수백만 명의 Authy 다단계 인증 사용자의 전화번호를 확인할 수 있게 하여 이들이 잠재적으로 SMS 피싱 및 SIM 스와핑(유심 스와핑) 공격에 취약해질 수 있습니다.
Authy는 MFA가 활성화된 웹 사이트에서 다단계 인증 코드를 생성하는 모바일 앱
ShinyHunters라는 위협 행위자는 Authy 서비스에 등록된 3,300만 개의 전화번호가 포함된 CSV 텍스트 파일을 유출했습니다.
Authy 고객은 자신의 전화번호가 유출 내용에 포함되어 있으면 조회할 수 없습니다. 위협 행위자는 전화번호만으로는 아무것도 할 수 없어서 직접적인 위협은 없음
Authy에서 다른 서비스로 마이그레이션
유일한 다른 옵션은 데이터를 수동으로 마이그레이션
Authy에서 코드가 생성되는 서비스에 로그인합니다.
환경설정에서 2FA를 끄세요.
이번에는 새로운 인증 앱을 사용하여 2FA를 다시 활성화
보안 되지 않은 API 엔드포인트에 대량의 전화번호 목록을 입력하여 데이터가 수집되었음
번호가 유효하면 엔드포인트는 Authy에 등록된 관련 계정에 대한 정보를 반환
API가 보안 되었으므로 전화번호가 Authy에 사용되는지 확인하는 데 더는 남용될 수 없음
Authy Android(v25.1.0) 및 iOS 앱(v26.1.0)으로 업그레이드할 것을 권장
또한, Authy 사용자는 비밀번호를 제공하거나 보안 기능을 끄지 않고 번호 전송을 차단하도록 모바일 계정을 구성을 진행해야 합니다.
요점
악용을 할 수가 있는 행위자가 Authy 고객의 전화번호 3,300만 개가 포함된 CSV 텍스트 파일을 유출
해당 목록은 부적절하게 보안 된 API 엔드포인트를 통해 획득
공격자는 Authy 시스템에 알려진 전화번호를 알아내려고 API에 많은 전화번호를 제공
공격자는 SMS(문자) 피싱이나 SIM 스와핑 공격에 전화번호를 사용할 수 있음
YubiKey 같은 물리적인 보완하기를 사용하는 것을 매우 권장함
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
파이어폭스 128(Firefox 128) 보안 업데이트 (0) | 2024.07.11 |
---|---|
윈도우 10,윈도우 11 KB5040427,KB5040442 보안 업데이트 (0) | 2024.07.11 |
ChatGPT(쳇GPT)의 macOS 앱은 채팅을 일반 텍스트로 저장 문제 패치 (0) | 2024.07.10 |
윈도우 곧 TLS 1.0 및 TLS 1.1 비활성화 (0) | 2024.07.09 |
국세청 사칭 북한의 해킹 그룹 Konni(코니)에서 만든 악성코드-부가가치세 수정신고 안내(부가가치세사무처리규정).hwp(2024.6.27).lnk (0) | 2024.07.04 |
마이크로소프트 기술 지원 사칭 사기(サポート 詐欺) 로 사람을 낚는 피싱 사이트-criticalfuckdedicated(.)s3(.)ap-southeast-1(.)amazonaws(.)com(2024.6.3) (0) | 2024.07.02 |
북한 해킹 단체 김수키(Kimsuky)에서 만든 악성코드-강연의뢰서_엄X호 교수님.docx.lnk(2024.6.4) (0) | 2024.06.28 |
Kaspersky(카스퍼스키)가 미국에서 금지되면 사용자 대책 (0) | 2024.06.24 |