أعلنت شركة Twilio عن ثغرة في واجهة برمجة التطبيقات API الخاصة بها، سمحت لمجموعة القرصنة ShinyHunters بالوصول إلى أرقام هواتف ملايين مستخدمي تطبيق Authy، وعرضها للبيع على منتدى للقراصنة على الإنترنت المظلم، على شكل ملف بيانات CSV.
تطبيق Authy هو تطبيق يُولد رموز المصادقة الثنائية للمواقع والتطبيقات التي قمت بتفعيل هذه الخاصية فيها.
يتضمن ملف CSV على 33 مليونًا و420 ألفًا و546 سجلًا، يحتوي كلّ سجل على معرّف المستخدم، ورقم الهاتف، وحالة الحساب، وعدد الأجهزة المُسجّلة.
أصدرت Twilio تحديثًا أمنيًا جديدًا للتطبيق لتصحيح الثغرة، لذلك نوصي المستخدمين بالترقية إلى أحدث إصدارات Authy على أندرويد (25.1.0) ونظام آيفون (26.1.0). ونُحذّر من أن التسريب قد يُعرّض المستخدمين لهجمات التصيد عبر الرسائل النصية.
ليس هذا هو حادث الاختراق الأول الذي تتعرض له Twilio، في عام 2022، تعرضت لاختراقات في يونيو وأغسطس، حيث تمكن المهاجمون من الوصول إلى معلومات عدد من عملاء Authy أيضًا.
