MFAアプリAuthyユーザーの電話番号数百万件が、API悪用したハッカーにより特定される
BleepingComputer- July 3, 2024
多要素認証アプリAuthy利用者の電話番号数百万件が脅威アクターにより特定されてしまったことを、同アプリ運営元のTwilioが認めた。これは、先月後半に「Authyに登録された電話番号3,300万件」とされるデータがハッカーフォーラム上でリークされたことを受けての動きだとみられる。
ShinyHuntersによるリーク
6月後半、Authyサービスに登録された電話番号3,300万件を含むとされるCSVテキストファイルを、脅威アクター「ShinyHunters」がハッカーフォーラム上にリーク。このファイルの行数は33,420,546行あり、それぞれにアカウントID、電話番号、「over_the_top」列、アカウントステータス、デバイス数が記載されていたという。なおShinyHuntersはSnowflakeアカウントの侵害キャンペーンにも関与していたとされるアクターで、ハッキングフォーラムBreachForumsの運営に携わっていたことでも知られる。
保護されていないAPIエンドポイントの悪用
Authyは、多要素認証(MFA)を有効化しているサイト用に認証コードを生成するモバイルアプリ。Twilioによれば、Authyアカウントに紐づく電話番号の特定は、保護されていないAPIエンドポイントを悪用することにより達成されたという。これは、過去にTwitterやFacebook、DuolingoなどのAPIが悪用され、アカウント情報がコンパイルされてしまった際に使われたのと似たような手法。具体的にはまず、無数の電話番号を含むリストをAPIエンドポイントに渡す。するとエンドポイントは、正しい番号に対してこれと紐づくAuthyアカウントの情報を返す。つまり情報が返ってきた番号については、Authyに登録済みであることを確かめることができる。なお現在このAPIは保護されており、悪用はできないようになっているとされる。
Twilioのシステムが侵害された形跡はなし
Twilioによれば、アクターが同社のシステムや電話番号等以外の機微なデータへ不正にアクセスした形跡は見つかっていないという。ただし予防措置として、Authyの全ユーザーにはアプリ(Android/iOS)の最新版へのアップデートを行うよう要請が出ている。また特定された電話番号を利用したSMSフィッシングやSIMスワップが実施される可能性もあることから、そうした詐欺行為へ警戒しておくことも推奨されている。