全球主机交流论坛

标题: 身份验证器 Authy 遭攻击，3300 万个手机号码泄露 [打印本页]

作者: 汤家凤 时间: 2024-7-5 09:15
标题: 身份验证器 Authy 遭攻击，3300 万个手机号码泄露
据 TechCrunch 早前报道，Twilio 称有人获取了与其双因素身份验证服务（2FA）Authy 相关的电话号码。Twilio 在周一发布的一份安全警报中警告说，"威胁行为者 "可能会试图利用窃取的电话号码实施网络钓鱼攻击和其他诈骗。
该事件发生在 2022 年的一次数据泄露事件之后，当时，一个网络钓鱼活动诱骗员工泄露了他们的登录凭证。攻击者访问了 163 个 Twilio 账户的数据，并设法访问和注册了 93 个 Authy 账户上的其他设备。
Twilio 将此次泄漏事件追溯到 "一个未经身份验证的端点"，并对其进行了安全保护。上周，威胁行为者 ShinyHunters 在暗网上公布了一份来自 Authy 账户的 3300 万电话号码列表。正如 BleepingComputer 所指出的那样，该威胁行为者似乎是通过向 Authy 不安全的 API 端点输入大量电话号码列表，然后验证这些电话号码是否与该应用相关联，从而获得了这些信息。
"Twilio 写道："我们鼓励所有 Authy 用户保持警惕，提高对所收到短信的防范意识。Twilio补充说，"没有证据表明威胁者获取了Twilio的系统或其他敏感数据"，而且Authy账户也没有被泄露。Twilio 建议用户更新他们在 Android 和 iOS 上的 Authy 应用程序（Authy 桌面应用程序已停用）。

用的人抓紧迁移吧，这对于一家专注于安全的公司来说都应该是死刑

作者: koven 时间: 2024-7-5 09:24
提示: 作者被禁止或删除内容自动屏蔽

作者: b66667777 时间: 2024-7-5 09:30
刺激不刺激

作者: ShqBql 时间: 2024-7-5 09:30
迁移可不是这样简单哦，我几百个账号，如果有直接导入到其他二步验证软件功能就好了

作者: mbsi 时间: 2024-7-5 09:35
引起舒适。

作者: 汤家凤 时间: 2024-7-5 09:38

ShqBql 发表于 2024-7-5 09:30
迁移可不是这样简单哦，我几百个账号，如果有直接导入到其他二步验证软件功能就好了 ...

逐步弃用就好了，先把重要的账户迁移走吧

作者: raoqiang881124 时间: 2024-7-5 09:43
会不会是内外勾结泄露的？

作者: w742152012 时间: 2024-7-5 09:47
这玩意没有导出功能

作者: summer9420 时间: 2024-7-5 09:55
大家自己保重吧

作者: ORM 时间: 2024-7-5 10:00
操了

作者: eDream 时间: 2024-7-5 10:10
幸好没用！！！

作者: ORM 时间: 2024-7-5 10:11

w742152012 发表于 2024-7-5 09:47
这玩意没有导出功能

有个工具可以导出 https://github.com/alexzorin/authy

作者: dovia 时间: 2024-7-5 10:12
不是ente的auth吧吓我一跳

作者: micboy 时间: 2024-7-5 10:12
就是手机号泄露了，不是手机卡被偷走了，问题不大

作者: Sam_Edward 时间: 2024-7-5 10:18
所以重要的东西还是保存在自己家里比较好，我就是keepass配合插件totp验证就好了；再想完全保密，那就自带u盘吧

作者: 西门锤雪 时间: 2024-7-5 10:33
之前在好多坛子各种吹各种夸这个安全，我都无语了，必须用手机号登陆能安全? 自己离备份比这个安全多了

作者: Nigel 时间: 2024-7-5 10:36

作者: abc2xyz 时间: 2024-7-5 12:46
说实话即使token泄露了问题也不大，盗号的还要知道token对应的账号和密码。。。

作者: karson 时间: 2024-7-5 12:55
这段话看了几遍，基本上只是注册了authy的手机号被扫出来了而已吧

作者: moxixia 时间: 2024-7-5 13:00
+44 无所谓

作者: sunkeinfo 时间: 2024-7-5 13:24
但是anthy 仍然是最好用最安全的2FA 应用。

远远超过了微软和Google的同类程序

作者: caddy 时间: 2024-7-5 14:07

西门锤雪发表于 2024-7-5 10:33
之前在好多坛子各种吹各种夸这个安全，我都无语了，必须用手机号登陆能安全? 自己离备份比这个安全多了 ...

看清楚内容再说行不行？能阅读理解没？

也就是你账号关连的手机号泄露，那又怎样？知道个手机号就能登录你authy？就算登录又怎么了，你账号+密码+2fa全泄露了？

欢迎光临全球主机交流论坛 (https://52.ht/)