Authy gebruik je voor het opvragen van tweefactorcodes, net als de Google Authenticator, Microsoft Authenticator en soortgelijke apps voor tweestapsverificatie. Het opvragen van tweefactorcodes zit ook ingebouwd in iCloud Sleutelhanger, de aanstaande Apple Wachtwoorden-app en algemene wachtwoordenapps zoals 1Password. Daarnaast zijn er gespecialiseerde apps, zoals Authy. Deze app levert de juiste code als je beveiligd wilt inloggen bij een website of dienst en is een van de populairste 2FA-apps in de App Store. Gelukkig zijn de tweefactorcodes van Authy niet gelekt, maar mogelijk wel de telefoonnummers van 33 miljoen gebruikers. Dat beweren althans de hackers; Twilio heeft zelf geen cijfers vrijgegeven.

De hacker beweerde vorige week al privégegevens van Authy-gebruikers te hebben bemachtigd en Twilio heeft dit nu bevestigd in een blogbericht. Er werden gegevens achterhaald die gekoppeld zijn aan Authy-accounts. De makers vertellen niet precies wat er gebeurd is, maar zeggen dat er sprake was van een “ongeauthenticeerd eindpunt”. Het bedrijf is nu gestopt met het toestaan van dergelijke ongeauthenticeerde verzoeken en zegt dat dit specifieke “eindpunt” nu is beveiligd.

De Authy-app is inmiddels ook bijgewerkt. Twilio zegt dat er geen bewijs is dat de booswichten toegang hebben gekregen tot de systemen van het bedrijf of andere gevoelige gegevens dan de telefoonnummers. De ontwikkelaar raadt gebruikers aan om te updaten naar de nieuwste versie van de app en alert te zijn op verdachte sms-berichten.

Uit voorzorg verzoeken we alle Authy-gebruikers om de nieuwste Android- en iOS-apps te updaten voor de nieuwste beveiligingsupdates. Hoewel Authy-accounts niet gecompromitteerd zijn, kunnen kwaadwillenden proberen het telefoonnummer dat gekoppeld is aan Authy-accounts te gebruiken voor phishing- en smishingaanvallen. We moedigen alle Authy-gebruikers aan om oplettend te blijven en zich beter bewust te zijn van de sms’jes die ze ontvangen.

Het grootste risico is dat een aanvaller nu drie dingen over je weet:

Je telefoonnummer

Dat je 2FA gebruikt

Dat je Authy gebruikt

Op basis daarvan kunnen aanvallers een overtuigend uitziend sms’je maken, waarin wordt gemeld dat er een probleem is met je tweefactorautenticatien en dat het nodig is om dit opnieuw in te stellen. Ook kunnen kwaadwillenden de indruk wekken dat ze van Twilio zijn en bijvoorbeeld vragen of je gegenereerde tweefactorcodes wilt doorsturen “om weer toegang te krijgen tot je account”. Twilio zegt verder dat gebruikers die geen toegang kunnen krijgen tot hun Authy-account onmiddellijk contact moeten opnemen met het supportteam. Als je dat op eigen initiatief doet, weet je zeker dat je met de Authy-makers te maken hebt. Aangezien het om 33 miljoen getroffen klanten gaat, is het onrealistisch om te denken dat Twilio zelf actief contact opneemt met al deze gebruikers. Personen die zich voordoen als medewerker van Twilio zijn dan ook bij voorbaat verdacht.

Dezelfde hacker zit vermoedelijk achter een recente phishingactie, waarbij ongeveer 10.000 inloggegevens van werknemers bij verschillende bedrijven werden gestoken. Ben je toe aan een andere app voor tweestapsverificatie, bekijk dan eens ons overzicht.