I famigerati hacker ShinyHunters hanno annunciato a fine giugno sul sito web BreachForums di essere in possesso di 33 milioni di numeri di telefono associati all’applicazione di autenticazione a due fattori Authy di Twilio.

Le informazioni trapelate comprendevano anche gli ID degli account e alcuni altri dati non personali associati agli utenti di Authy. In un avviso di sicurezza pubblicato sul proprio sito web, Twilio ha confermato la violazione dei dati.

“Abbiamo rilevato che gli attori delle minacce sono stati in grado di identificare i dati associati agli account Authy, compresi i numeri di telefono, grazie a un endpoint non autenticato. Abbiamo preso provvedimenti per proteggere questo endpoint e non consentire più richieste non autenticate”, si legge nell’avviso.

authy-app-ios

Twilio non ha trovato prove che gli hacker abbiano avuto accesso ai suoi sistemi o che abbiano ottenuto altri dati sensibili, ma per precauzione ha invitato gli utenti di Authy a installare gli ultimi aggiornamenti di sicurezza per Android e iOS.

“Sebbene gli account Authy non siano stati compromessi, gli attori delle minacce potrebbero tentare di utilizzare il numero di telefono associato agli account per attacchi di phishing e smishing; invitiamo quindi tutti gli utenti a essere diligenti e ad avere una maggiore consapevolezza degli SMS che ricevono”, ha dichiarato Twilio.

Authy è disponibile anche in Italia, ma Twilio non ha specificato se i dati sottratti siano circoscritti a un determinato mercato o territorio o se si riferiscano invece a un’utenza globale.