来自 Techcrunch 7月3日的消息,以及 Authy 母公司 Twilio 7月1日发布的消息,著名的二次验证应用 Authy 泄漏了大约 3300 万用户的绑定手机号码,但系统或其他敏感数据的访问权限。@Appinn
Authy 是什么
Authy 是流行的二次验证程序,它可以帮你保存第三方网站的 2FA 信息,并在多个设备上同步这些数据。青小蛙也在使用他们的服务。
2FA 可以让你在登录时输入一组基于时间生成的不可伪造的数字,这样就能确保及时在泄漏用户名、密码的情况下,也不会被登录。
发生了什么
Techcrunch 的消息称「上周,在知名黑客论坛上的一篇帖子中,名为 ShinyHunters 的黑客写道,他们入侵了 Twilio,并获取了 3300 万用户的手机号码。」
Twilio 称「Twilio 检测到,由于端点未经身份验证,威胁行为者能够识别与 Authy 帐户相关的数据,包括电话号码。我们已采取措施保护此端点,不再允许未经身份验证的请求。」
该怎么做?
Twilio 说:我们没有看到任何证据表明威胁行为者获得了 Twilio 系统或其他敏感数据的访问权限。作为预防措施,我们要求所有 Authy 用户更新到最新的 Android 和 iOS 应用程序以获得最新的安全更新。
替代品
如果你需要替代品,可以尝试:
等服务。
青小蛙觉得,仅泄漏手机号码意味着黑客知道这个手机号码注册了 Authy,黑客并无法登录 Authy 从而获取你的 2FA 信息。但可能在未来遇到钓鱼等黑客行为,不要轻信任何宣称自己是 Authy 的邮件、短信。
以及,Authy 已于 2024 年 3 月 19 日不再支持桌面应用程序,包括 Linux、MacOS 和 Windows 的 Authy Desktop 应用程序。
一个「比较好」的消息是国内绝大多数服务都不支持 2FA,所以,对国内用户来说影响不大。
原文:https://www.appinn.com/authy-leak-phone-number-33m-users/