Bleeping Computerは7月3日(米国時間)、「Hackers abused API to verify millions of Authy MFA phone numbers」において、多要素認証(MFA: Multi-Factor Authentication)アプリの「Authy」から3,300万件超の電話番号が漏洩したと報じた。これは脅威アクター「ShinyHunters」が2024年6月27日にハッキングフォーラムに投稿した内容から明らかになった。Authyを提供するTwilioは侵害可能だったことを認め、セキュリティアップデートを公開している。
漏洩したデータの種類
脅威アクターが投稿した内容によると、漏洩したデータには顧客ID、電話番号、アカウントステータス、デバイス数などが含まれるという。氏名や住所などは含まれていないが、脅威アクターはGeminiおよびNexoの漏洩データと電話番号の比較を示唆する投稿をしており、SIMスワッピング攻撃やフィッシング攻撃を準備している可能性が指摘されている。
Bleeping Computerは、脅威アクターが暗号資産アカウントに不正アクセスして、すべての資産を窃取する可能性があるとして注意を呼びかけている。
Twilioの対応
Twilioは7月1日(米国時間)、この件に関するセキュリティアラートを「Security Alert: Update to the Authy Android (v25.1.0) and iOS App (v26.1.0) | Twilio」にて公開した。Twilioはデータ漏洩について次のように述べ、影響は限定的だが追加の攻撃に注意してほしいとしている。
脅威アクターがTwilioの(別の)システムやその他の機密データにアクセスした証拠は確認していない。予防処置として、すべてのユーザーにセキュリティアップデートを適用した最新アプリへの更新をお願いする(本件データ漏洩により)Authyアカウントが侵害されることはないが、脅威アクターがアカウントに関連付けられた電話番号をフィッシングやスミッシング攻撃に悪用する可能性がある)。
セキュリティアップデートを適用した最新アプリのバージョンは次のとおり。
- Authy (Android) v25.1.0
- Authy (iOS) v26.1.0
Authyを利用しているユーザーは、速やかに最新版にアップデートすることが推奨されている。また、Authyアカウントにアクセスできるかどうかを確認し、アクセスできない場合はAuthyサポートに連絡することが望まれている。