Như đã đề cập ở trên, Authy được biết đến là ứng dụng tạo mã xác thực 2FA được cài đặt trên điện thoại di động của người dùng. Đây là ứng dụng đơn giản và dễ sử dụng khi bạn thiết lập xác thực hai yếu tố cho tài khoản của mình. Gần đây, trong một bài đăng được chia sẻ trên tài khoản mạng xã hội của mình, nhóm Authy đã viết: “Twilio đã phát hiện ra rằng các mối đe dọa có thể xác định được dữ liệu liên quan đến tài khoản Authy, bao gồm cả số điện thoại, do điểm cuối chưa được xác thực. Chúng tôi đã thực hiện hành động để bảo mật điểm cuối này và không còn cho phép các yêu cầu chưa được xác thực nữa”.
Twilio yêu cầu tất cả người dùng Authy cập nhật lên phiên bản mới nhất của ứng dụng iOS hoặc Android để cài đặt các bản cập nhật bảo mật mới nhất. Twilio nói thêm, “Mặc dù tài khoản Authy không bị xâm phạm, nhưng kẻ tấn công có thể cố gắng sử dụng số điện thoại được liên kết với tài khoản Authy để thực hiện các cuộc tấn công lừa đảo; chúng tôi khuyến khích tất cả người dùng Authy luôn cảnh giác với các tin nhắn họ nhận được.
Xác thực hai yếu tố (2FA) yêu cầu lớp bảo vệ thứ hai khi đăng nhập vào ứng dụng. Ví dụ, sau khi đăng nhập vào ứng dụng, bạn sẽ nhận được tin nhắn SMS trên điện thoại có mã mà bạn cần nhập để mở ứng dụng. Điều này ngăn chặn kẻ tấn công mở một trong các ứng dụng của bạn và truy cập vào tài khoản của bạn, thay đổi mật khẩu và đánh cắp điểm mù của bạn. Hiện tại, Twilio cho biết dữ liệu khách hàng bị đánh cắp trong vụ hack chỉ giới hạn ở số điện thoại.
Twilio đổ lỗi cho việc sử dụng “điểm cuối chưa xác thực” cho vụ vi phạm thành công, lưu ý rằng họ đã thực hiện hành động để bảo mật điểm cuối và “không còn cho phép các yêu cầu chưa xác thực nữa”. Một phương tiện truyền thông đưa tin rằng số lượng số điện thoại bị đánh cắp hiện đã tăng lên 33 triệu. Trên một diễn đàn hack phổ biến, một hacker có tên ShinyHunters đã thừa nhận đã đánh cắp 33 triệu số điện thoại di động.
Mặc dù việc đánh cắp số điện thoại không nhất thiết là nguyên nhân gây lo ngại cho người dùng Authy, nhưng kẻ tấn công có thể sử dụng những số này để gọi điện hoặc nhắn tin cho những người đăng ký Authy là nạn nhân. Sau đó, kẻ tấn công có thể giả vờ là người của Authy và tìm kiếm thông tin người dùng khác, bao gồm số an sinh xã hội, số tài khoản ngân hàng và các dữ liệu cá nhân nhạy cảm khác. Hãy thận trọng khi nhận cuộc gọi hoặc tin nhắn tự nhận là từ Twilio hoặc Authy và không cung cấp bất kỳ dữ liệu cá nhân nào cho dù người gọi hoặc người nhắn tin có khăng khăng như thế nào.
Vụ hack này không liên quan gì đến việc 2FA có bảo vệ được dữ liệu cá nhân của bạn hay không. Nếu bạn thích 2FA như một biện pháp ngăn chặn, đừng ngừng sử dụng nó vì Authy đã bị hack.
Link nguồn: https://cafef.vn/ung-dung-pho-bien-tren-ios-android-bi-hack-hang-trieu-so-dien-thoai-di-dong-bi-danh-cap-188240706154610155.chn