【安全资讯】黑客滥用API验证数百万Authy MFA电话号码

概要：

Twilio公司近日确认，一个未加密的API端点被黑客滥用，导致数百万Authy多因素认证用户的电话号码被验证。这一事件使用户面临短信钓鱼和SIM交换攻击的风险。黑客组织ShinyHunters泄露了包含3300多万个电话号码的CSV文件。

主要内容：

Twilio公司在6月底确认，一个未加密的API端点被黑客滥用，导致数百万Authy多因素认证用户的电话号码被验证。Authy是一款生成多因素认证代码的移动应用程序。黑客组织ShinyHunters在黑客论坛上泄露了一个包含33,420,546行数据的CSV文件，每行数据包括账户ID、电话号码、账户状态和设备数量。

Twilio公司表示，黑客通过向未加密的API端点输入大量电话号码来编制这份数据列表。如果号码有效，端点会返回与Authy账户相关的信息。虽然API端点现已加密，但这些电话号码仍可能被用于进行短信钓鱼和SIM交换攻击。ShinyHunters在其帖子中暗示，黑客可以将这些电话号码与Gemini和Nexo数据泄露中的号码进行比对，以尝试入侵加密货币交易账户并窃取资产。

Twilio公司已发布新的安全更新，建议用户升级到最新版本的Authy Android (v25.1.0)和iOS应用程序 (v26.1.0)，以获得最新的安全保护。用户还应确保其移动账户配置为在没有提供密码的情况下阻止号码转移，并警惕潜在的短信钓鱼攻击，这些攻击可能试图窃取更敏感的数据，如密码。