Na semana passada, um hacker afirmou ter roubado 33 milhões de números de telefone da gigante de mensagens dos EUA, Twilio. Na terça-feira, a Twilio confirmou ao TechCrunch que "agentes de ameaça" foram capazes de identificar o número de telefone de pessoas que usam o Authy, um popular aplicativo de autenticação de dois fatores de propriedade da Twilio.
Em um post em um fórum bem conhecido de hackers, o hacker ou hackers conhecidos como ShinyHunters escreveram que hackearam a Twilio e obtiveram os números de telefone de 33 milhões de usuários.
A porta-voz da Twilio, Kari Ramirez, disse ao TechCrunch que a empresa "detectou que os agentes de ameaça foram capazes de identificar dados associados às contas do Authy, incluindo números de telefone, devido a um endpoint não autenticado. Tomamos medidas para garantir essa endpoint e não permitimos mais solicitações não autenticadas."
"Não encontramos evidências de que os agentes de ameaça obtiveram acesso aos sistemas da Twilio ou a outros dados sensíveis. Como precaução, estamos solicitando a todos os usuários do Authy que atualizem para os aplicativos mais recentes para Android e iOS para as últimas atualizações de segurança e encorajamos todos os usuários do Authy a permanecer vigilantes e ter uma consciência elevada em torno de ataques de phishing e smishing," Ramirez escreveu em um e-mail.
A Twilio também publicou um alerta em seu site oficial na segunda-feira, incluindo a mesma declaração.
Em 2022, a Twilio sofreu um ataque de dados maior, quando um grupo de hackers acessou os dados de mais de 100 clientes da empresa. Naquela época, os hackers lançaram uma ampla campanha de phishing que resultou no roubo de cerca de 10.000 credenciais de funcionários de pelo menos 130 empresas. Como parte desse ataque na época, a Twilio disse que os hackers direcionaram com sucesso 93 usuários individuais do Authy e conseguiram registrar dispositivos adicionais nas contas de Authy dessas vítimas, permitindo-lhes efetivamente roubar códigos reais de dois fatores.
ATUALIZAÇÃO, 12:52 ET: Esta história foi corrigida para esclarecer que o ataque à Twilio de 2022 não está diretamente conectado à campanha de phishing que resultou no roubo de cerca de 10.000 credenciais de funcionários de várias empresas. Os dois ataques foram supostamente realizados pelos mesmos agentes de ameaça.
